Злоумышленники заблокировали системы как минимум 11 американских корпораций. За восстановление доступа они требовали выкуп в криптовалюте. На данный момент установленный ущерб составил около 1,5 млн долларов.
В составе группы более 20 человек, семеро из которых находятся на территории Украины. У каждого была своя роль: от взлома паролей и написания кода до переговоров с жертвами и выведения денег в наличные.
Один из фигурантов также причастен к другому преступлению — распространению вредоносного программного обеспечения BlackBasta, которое расследуется в Германии. Сегодня совместно с комиссарами уголовной полиции Германии мы провели обыски у двух граждан Украины.
Во время следственных действий изъято:
— компьютерная техника,
— мобильные телефоны,
— черновые записи и денежные средства.
Продолжается анализ изъятых материалов. По его завершении будет принято решение о предъявлении подозрения.
Из полицейского рейда в доме подозреваемого
Личность лидера банды Black Basta, занимающейся вымогательством выкупа с помощью программ-вымогателей, была подтверждена правоохранительными органами Украины и Германии, и этот человек был внесен в список разыскиваемых лиц Европола и Интерпола.
Федеральное управление уголовной полиции Германии (BKA) идентифицировало 35-летнего гражданина России Олега Евгеньевича Нефедова как лидера банды Black Basta, занимающейся вымогательством выкупа с помощью программ-вымогателей.
Украинская полиция в сотрудничестве с немецкими властями также установила личности двух других лиц, предположительно работающих на группировку, и провела рейды в двух местах в Ивано-Франковской и Львовской областях.
Полиция утверждает, что двое подозреваемых специализировались на получении первоначального доступа к целевым сетям и подготавливали почву для последующих этапов атаки с использованием программ-вымогателей.
"По данным следствия, подозреваемые специализировались на техническом взломе защищенных систем и участвовали в подготовке кибератак с использованием программ-вымогателей," — сообщила киберполиция Украины.
"Злоумышленники выполняли функции так называемых хэш-взломщиков — лиц, специализирующихся на извлечении паролей к учетным записям из информационных систем с помощью специального программного обеспечения," — поясняется в пресс-релизе.
Получив учетные данные сотрудников компании, подозреваемые взломали внутренние корпоративные системы и повысили привилегии украденных учетных записей.
В ходе обысков по месту жительства двух подозреваемых членов хакерской группировки, связанной с Россией, украинская полиция изъяла цифровые носители информации и криптовалютные активы.
Лидер Black Basta
Нефедов, известный в сети под псевдонимами tramp, tr, gg, kurva, AA, Washingt0n и S.Jimmi, был причастен к деятельности киберпреступной группировки с февраля прошлого года, после того как кто-то слил более 200 000 сообщений из чата между членами Black Basta.
Хотя Нефедов считается основателем и лидером Black Basta, существуют также достоверные доказательства, связывающие его с Conti, ныне несуществующим синдикатом вымогателей, который появился в 2020 году как преемник Ryuk.
После закрытия Conti он разделился на более мелкие ячейки, которые проникли в другие операции по вымогательству выкупа или переняли существующие. Одной из новых операций была Black Basta, считающаяся ребрендингом старого Conti.
Исследователи безопасности из Trellix проанализировали утечку текстов и обнаружили разговоры между GG и Chuck о "вознаграждении в 10 миллионов долларов за информацию о ‘tr’ (возможно, ‘-amp’), что, вероятно, относится к награде США за поимку пяти ключевых членов банды Conti, включая хакера Tramp."
"В утечке чата GG действительно был идентифицирован как Tramp (лидер Conti) пользователем ‘bio’, (также известным как ‘pumba’, еще один член Conti)," — заявили исследователи Trellix.
Следует отметить, что в феврале 2022 года, после вторжения России в Украину, исследователь обнародовал внутренние чаты из группы Conti, в которых Tramp упоминался как лидер.
Однако власти официально подтвердили, что Нефедов является лидером банды Black Basta, занимающейся вымогательством выкупа с помощью программ-вымогателей, и добавили его в списки "Самых разыскиваемых" Европола и "Красных уведомлений" Интерпола.
Программа-вымогатель Black Basta (RaaS) появилась в апреле 2022 года и, как полагают, ответственна за по меньшей мере 600 инцидентов с использованием программ-вымогателей, кражей данных и вымогательством, направленных против крупных организаций по всему миру.
Среди известных жертв — немецкий оборонный подрядчик Rheinmetall, европейское подразделение Hyundai, BT Group (ранее British Telecom), американский гигант в сфере здравоохранения Ascension, государственный подрядчик ABB, Американская стоматологическая ассоциация, британская компания по аутсорсингу технологий Capita, публичная библиотека Торонто и Yellow Pages Canada.
