Les autorités chargées de l'application des lois en Ukraine et en Allemagne ont identifié deux Ukrainiens soupçonnés de travailler pour le groupe de ransomware-as-a-service (RaaS) lié à la Russie, Black Basta.
En outre, le chef présumé du groupe, un ressortissant russe de 35 ans nommé Oleg Evgenievich Nefedov (Нефедов Олег Евгеньевич), a été ajouté aux listes des personnes les plus recherchées de l'Union européenne et à la notice rouge d'INTERPOL, ont indiqué les autorités.
“Selon l'enquête, les suspects se sont spécialisés dans le piratage technique de systèmes protégés et ont participé à la préparation de cyberattaques utilisant des ransomwares”, a indiqué la cyber-police ukrainienne dans un communiqué.
L'agence a déclaré que les individus accusés agissaient comme des « hackers de hachage », spécialisés dans l'extraction de mots de passe de systèmes d'information à l'aide de logiciels spécialisés. Une fois les informations d’identification obtenues, les membres du groupe de ransomwares ont pénétré dans les réseaux de l’entreprise et ont finalement déployé un ransomware et extorqué de l’argent pour récupérer les informations cryptées.
Les autorités ont perquisitionné les résidences des accusés situées à Ivano-Frankivsk et Lviv, leur permettant de saisir des appareils de stockage numérique et des actifs en cryptomonnaie.
Black Basta est apparu pour la première fois dans le paysage des menaces en avril 2022 et aurait ciblé plus de 500 entreprises en Amérique du Nord, en Europe et en Australie. On estime que le groupe de ransomwares a gagné des centaines de millions de dollars en crypto-monnaie grâce à des paiements illicites.
Au début de l'année dernière, des journaux de discussion internes d'une année de Black Basta ont été divulgués en ligne, offrant un aperçu du fonctionnement interne du groupe, de sa structure et de ses membres clés, ainsi que des diverses vulnérabilités de sécurité exploitées pour obtenir un premier accès aux organisations d'intérêt.
Le dossier divulgué a également révélé que Nefedov était le chef de Black Basta, ajoutant qu'il utilisait plusieurs pseudonymes, tels que Tramp, Trump, GG et AA. Certains documents alléguaient que Nefedov avait des liens avec des politiciens russes de haut rang et des agences de renseignement, notamment le FSB et le GRU.
Nefedov aurait profité de ces connexions pour protéger ses opérations et échapper à la justice internationale. Une analyse plus approfondie réalisée par Trellix a révélé que Nefedov a réussi à garantir sa liberté malgré son arrestation à Erevan, en Arménie, en juin 2024. Ses autres pseudonymes incluent Kurva, Washington et S.Jimmi. Même si Nefedov se trouverait en Russie, on ignore où il se trouve exactement.
De plus, il existe des preuves liant Nefedov à Conti, un groupe aujourd’hui disparu qui a émergé en 2020 pour succéder à Ryuk. En août 2022, le Département d'État américain a annoncé une récompense de 10 millions de dollars pour les informations relatives à cinq personnes associées au groupe de ransomware Conti. Parmi eux se trouvaient Target, Tramp, Dandis, Professeur et Reshaev.
Il convient de mentionner ici que Black Basta est apparu comme un groupe autonome, aux côtés de BlackByte et KaraKurt, suite au retrait de la marque Conti en 2022. D'autres membres ont rejoint des groupes tels que BlackCat, Hive, AvosLocker et HelloKitty, qui ne sont désormais plus actifs.
“Il a agi en tant que chef du groupe. À ce titre, il a décidé qui ou quelles organisations seraient les cibles des attaques, a recruté des membres, leur a assigné des tâches, a participé aux négociations de rançon, a géré la rançon obtenue par extorsion et l'a utilisée pour payer les membres du groupe”, a déclaré l'Office fédéral allemand de la police criminelle (BKA ou Bundeskriminalamt).
Les fuites ont conduit à la disparition apparente de Black Basta, le groupe étant resté silencieux après février et ayant retiré sa fuite de données le même mois. Mais étant donné que les gangs de ransomwares sont connus pour cesser leurs activités, changer de nom et réapparaître sous une identité différente, il ne serait pas surprenant que les membres de l'ancien syndicat criminel se joignent à d'autres groupes de ransomwares ou en forment de nouveaux.
En fait, selon les rapports de ReliaQuest et Trend Micro, il est soupçonné que plusieurs anciens affiliés de Black Basta pourraient avoir migré vers l'opération de ransomware CACTUS, une évaluation basée sur le fait qu'il y a eu une augmentation massive du nombre d'organisations nommées sur le site de violation de données de ce dernier en février 2025, coïncidant avec la mise hors ligne du site Black Basta.
