Cơ quan thực thi pháp luật Ukraine và Đức đã xác định hai người Ukraine bị tình nghi làm việc cho nhóm ransomware-as-a-service (RaaS) Black Basta có liên hệ với Nga.
Ngoài ra, Oleg Evgenievich Nefedov (Нефедов Олег Евгеньевич), quốc tịch Nga 35 tuổi, được cho là thủ lĩnh của nhóm, đã bị thêm vào danh sách Truy nã gắt gao nhất của Liên minh châu Âu (EU Most Wanted) và Lệnh truy nã Đỏ (Red Notice) của INTERPOL, theo ghi nhận của nhà chức trách.
"Theo cuộc điều tra, các nghi phạm chuyên về kỹ thuật hacking các hệ thống được bảo vệ và đã tham gia vào việc chuẩn bị các cuộc tấn công mạng bằng ransomware," Cảnh sát mạng Ukraine cho biết trong một tuyên bố.
Cơ quan này cho biết các cá nhân bị buộc tội hoạt động như những "hash crackers", chuyên trích xuất mật khẩu từ các hệ thống thông tin bằng phần mềm chuyên dụng. Sau khi thông tin xác thực được thu thập, các thành viên của nhóm ransomware đã xâm nhập vào mạng lưới công ty và cuối cùng triển khai ransomware, tống tiền để khôi phục thông tin được mã hóa.
Nhà chức trách đã tiến hành khám xét tại nơi cư trú của các bị cáo ở Ivano-Frankivsk và Lviv, thu giữ các thiết bị lưu trữ kỹ thuật số và tài sản tiền điện tử.
Black Basta lần đầu xuất hiện trong bối cảnh mối đe dọa vào tháng 4 năm 2022, và được cho là đã nhắm mục tiêu vào hơn 500 công ty trên khắp Bắc Mỹ, Châu Âu và Úc. Nhóm ransomware này ước tính đã kiếm được hàng trăm triệu đô la tiền điện tử từ các khoản thanh toán bất hợp pháp.
Đầu năm ngoái, các nhật ký chat nội bộ kéo dài một năm của Black Basta đã bị rò rỉ trực tuyến, mang đến một cái nhìn sâu sắc về cách thức hoạt động nội bộ, cấu trúc và các thành viên chủ chốt của nhóm, cũng như các lỗ hổng bảo mật khác nhau bị khai thác để giành quyền truy cập ban đầu vào các tổ chức mục tiêu.
Hồ sơ bị rò rỉ cũng lộ diện Nefedov là kẻ cầm đầu của Black Basta, và cho biết hắn sử dụng nhiều bí danh khác nhau như Tramp, Trump, GG, và AA. Một số tài liệu cáo buộc rằng Nefedov có liên hệ với các chính trị gia cấp cao và các cơ quan tình báo Nga, bao gồm FSB và GRU.
Nefedov được cho là đã tận dụng những mối quan hệ này để bảo vệ hoạt động của mình và trốn tránh công lý quốc tế. Một phân tích sau đó từ Trellix đã tiết lộ rằng Nefedov đã có thể thoát khỏi vòng lao lý mặc dù bị bắt ở Yerevan, Armenia vào tháng 6 năm 2024. Các bí danh khác của hắn bao gồm kurva, Washingt0n và S.Jimmi. Mặc dù Nefedov được cho là đang ở Nga, nhưng vị trí chính xác của hắn vẫn chưa được biết.
Hơn nữa, có bằng chứng liên kết Nefedov với Conti, một nhóm hiện không còn hoạt động, đã xuất hiện vào năm 2020 với tư cách là nhóm kế nhiệm của Ryuk. Vào tháng 8 năm 2022, Bộ Ngoại giao Hoa Kỳ đã công bố khoản tiền thưởng 10 triệu đô la cho thông tin liên quan đến năm cá nhân có liên quan đến nhóm ransomware Conti. Họ bao gồm Target, Tramp, Dandis, Professor và Reshaev.
Cần lưu ý rằng Black Basta đã nổi lên như một nhóm độc lập, cùng với BlackByte và KaraKurt, sau khi thương hiệu Conti ngừng hoạt động vào năm 2022. Các thành viên khác đã gia nhập các nhóm như BlackCat, Hive, AvosLocker và HelloKitty, tất cả đều hiện không còn hoạt động.
"Hắn ta giữ vai trò đứng đầu nhóm. Theo đó, hắn quyết định ai hoặc tổ chức nào sẽ là mục tiêu tấn công, tuyển mộ thành viên, phân công nhiệm vụ cho họ, tham gia đàm phán tiền chuộc, quản lý số tiền chuộc thu được từ tống tiền và sử dụng nó để trả cho các thành viên của nhóm," Văn phòng Cảnh sát Hình sự Liên bang Đức (BKA hoặc Bundeskriminalamt) cho biết.
Các vụ rò rỉ đã dẫn đến sự sụp đổ rõ ràng của Black Basta, khi nhóm này im lặng sau tháng 2 và gỡ bỏ trang rò rỉ dữ liệu của mình vào cuối tháng đó. Nhưng với việc các băng đảng ransomware nổi tiếng là đóng cửa, đổi tên và tái xuất hiện dưới một danh tính khác, sẽ không ngạc nhiên nếu các thành viên của tổ chức tội phạm trước đây chuyển sang các nhóm ransomware khác hoặc thành lập nhóm mới.
Thật vậy, theo báo cáo từ ReliaQuest và Trend Micro, có nghi ngờ rằng một số thành viên cũ của Black Basta có thể đã chuyển sang hoạt động ransomware CACTUS – một đánh giá dựa trên thực tế là đã có sự gia tăng lớn về số lượng tổ chức được nêu tên trên trang rò rỉ dữ liệu của CACTUS vào tháng 2 năm 2025, trùng với thời điểm trang web của Black Basta ngoại tuyến.
