As autoridades policiais da Ucrânia e da Alemanha identificaram dois cidadãos ucranianos suspeitos de integrar a operação do Black Basta, um serviço de ransomware como serviço (RaaS) associado à Rússia. Paralelamente, o suposto líder do grupo, o russo Oleg Evgenievich Nefedov, de 35 anos, passou a integrar as listas de procurados da União Europeia e da Interpol, com alerta vermelho emitido pelas autoridades internacionais.
Segundo a Polícia Cibernética da Ucrânia, os investigados eram especializados em invasões técnicas de sistemas protegidos e atuavam diretamente na preparação de ataques cibernéticos baseados em ransomware. De acordo com o comunicado oficial, eles exerciam a função conhecida como “quebradores de hash”, responsáveis por extrair senhas de sistemas corporativos por meio de softwares específicos.
Após a obtenção das credenciais de acesso, as informações eram repassadas a outros membros da organização criminosa, que então invadiam redes corporativas, implantavam o ransomware e exigiam pagamentos para a liberação dos dados criptografados. Buscas realizadas em residências nas cidades de Ivano-Frankivsk e Lviv resultaram na apreensão de dispositivos de armazenamento digital e ativos mantidos em criptomoedas.
O Black Basta surgiu no cenário global de ameaças cibernéticas em abril de 2022 e, desde então, teria atacado mais de 500 empresas na América do Norte, Europa e Austrália. Estimativas indicam que o grupo arrecadou centenas de milhões de dólares em criptomoedas por meio de pagamentos ilícitos de resgate.
No início do ano passado, o vazamento de um ano inteiro de registros de conversas internas do grupo trouxe à tona detalhes sobre sua estrutura, principais integrantes e vulnerabilidades exploradas para o acesso inicial às organizações-alvo. O material reforçou a identificação de Nefedov como líder da quadrilha e revelou o uso de diversos pseudônimos, como Tramp, Trump, GG e AA.
Os documentos vazados também apontaram possíveis ligações de Nefedov com políticos russos de alto escalão e com agências de inteligência do país, como o FSB e o GRU. A investigação indica que essas conexões podem ter sido usadas para proteger suas atividades criminosas e dificultar sua responsabilização internacional. Uma análise posterior da Trellix revelou que, apesar de ter sido detido em Yerevan, na Armênia, em junho de 2024, Nefedov conseguiu manter a liberdade. Atualmente, acredita-se que ele esteja na Rússia, embora seu paradeiro exato seja desconhecido.
Há ainda indícios de que Nefedov tenha mantido vínculos com o grupo Conti, uma das maiores operações de ransomware da última década, extinta em 2022 e considerada sucessora do Ryuk. Em agosto daquele ano, o Departamento de Estado dos Estados Unidos anunciou uma recompensa de US$ 10 milhões por informações sobre cinco indivíduos ligados ao Conti, entre eles nomes associados aos mesmos pseudônimos usados por Nefedov.
Com o fim da marca Conti, o Black Basta surgiu de forma independente, ao lado de grupos como BlackByte e KaraKurt. Outros integrantes migraram para operações como BlackCat, Hive, AvosLocker e HelloKitty, que também já encerraram suas atividades.
Um relatório recente da Analyst1 revelou ainda a forte dependência do Black Basta da Media Land, uma provedora de hospedagem considerada “à prova de balas” e sancionada pelos Estados Unidos, Reino Unido e Austrália em novembro de 2025. Apesar das sanções, o grupo teria recebido tratamento privilegiado dentro da infraestrutura fornecida pela empresa.
Segundo o Departamento Federal de Polícia Criminal da Alemanha, Nefedov exercia papel central na organização criminosa, decidindo os alvos dos ataques, recrutando integrantes, distribuindo tarefas, participando das negociações de resgate e administrando os valores obtidos para pagamento dos membros.
Os vazamentos de informações teriam levado ao aparente encerramento das atividades do Black Basta, que deixou de se manifestar publicamente após fevereiro e removeu seu site de vazamento de dados no mesmo período. Especialistas, no entanto, alertam que grupos de ransomware frequentemente encerram operações apenas para ressurgir sob novos nomes.
Relatórios da ReliaQuest e da Trend Micro indicam que ex-afiliados do Black Basta podem ter migrado para a operação de ransomware CACTUS. A suspeita se baseia no aumento expressivo de organizações citadas no site de vazamento de dados desse grupo a partir de fevereiro de 2025, coincidindo com a desativação da infraestrutura pública do Black Basta.
Fonte: The Hacker News
