Ukraynalı ve Alman emniyet yetkilileri, Rusya bağlantılı hizmet olarak fidye yazılımı (RaaS) grubu Black Basta için çalıştıklarından şüphelenilen iki Ukraynalıyı tespit etti.
Ayrıca yetkililer, grubun sözde lideri olan 35 yaşındaki Rus vatandaşı Oleg Evgenievich Nefedov’un (Нефедов Олег Евгеньевич) Avrupa Birliği’nin En Çok Arananlar ve INTERPOL’ün Kırmızı Bülten listelerine eklendiğini belirtti.
Ukrayna Siber Polisi yaptığı açıklamada, “Soruşturmaya göre, şüpheliler korunan sistemlerin teknik olarak hacklenmesinde uzmanlaştı ve fidye yazılımı kullanarak siber saldırıların hazırlanmasında yer aldılar” dedi.
Teşkilat, sanıkların özel yazılımlar kullanarak bilgi sistemlerinden şifreleri çıkarma konusunda uzmanlaşmış “karma korsanlar” olarak görev yaptığını söyledi. Kimlik bilgileri alındıktan sonra, fidye yazılımı grubunun üyeleri kurumsal ağlara girdi ve sonunda fidye yazılımını konuşlandırdı ve şifrelenmiş bilgileri kurtarmak için zorla para aldı.
Yetkililer, sanıkların Ivano-Frankivsk ve Lviv’deki evlerinde aramalar yaparak dijital depolama cihazlarına ve kripto para varlıklarına el koymalarına olanak sağladı.
Black Basta, tehdit ortamında ilk olarak Nisan 2022’de ortaya çıktı ve Kuzey Amerika, Avrupa ve Avustralya’da 500’den fazla şirketi hedef aldığı söyleniyor. Fidye yazılımı grubunun yasa dışı ödemelerden yüz milyonlarca dolar kripto para kazandığı tahmin ediliyor.
Geçtiğimiz yılın başlarında, Black Basta’nın bir yıllık dahili sohbet kayıtları internete sızdırıldı ve grubun iç işleyişine, yapısına ve kilit üyelerine ve ilgili kuruluşlara ilk erişim elde etmek için kullanılan çeşitli güvenlik açıklarına kısa bir bakış sundu.
Sızan dosya aynı zamanda Nefedov’un Black Basta’nın elebaşı olduğunu ortaya çıkardı ve onun Tramp, Trump, GG ve AA gibi çeşitli takma adlar kullandığını da ekledi. Bazı belgeler Nefedov’un aralarında FSB ve GRU’nun da bulunduğu üst düzey Rus politikacılar ve istihbarat teşkilatlarıyla bağları olduğunu iddia ediyordu.
Nefedov’un, operasyonlarını korumak ve uluslararası adaletten kaçmak için bu bağlantılardan yararlandığına inanılıyor. Trellix’in daha sonra yaptığı bir analiz, Nefedov’un Haziran 2024’te Ermenistan’ın Erivan kentinde tutuklanmasına rağmen özgürlüğünü güvence altına alabildiğini ortaya çıkardı. Diğer takma adları arasında kurva, Washingt0n ve S.Jimmi yer alıyor. Nefedov’un Rusya’da olduğu söylense de tam olarak nerede olduğu bilinmiyor.
Dahası, Nefedov’u, 2020’de Ryuk’un halefi olarak ortaya çıkan, artık feshedilmiş bir grup olan Conti’ye bağlayan kanıtlar var. Ağustos 2022’de ABD Dışişleri Bakanlığı, Conti fidye yazılımı grubuyla bağlantılı beş kişiyle ilgili bilgiler için 10 milyon dolarlık ödül vereceğini duyurdu. Bunlar arasında Target, Tramp, Dandis, Profesör ve Reshaev vardı.
Conti markasının 2022’de kullanımdan kaldırılmasının ardından Black Basta’nın BlackByte ve KaraKurt ile birlikte özerk bir grup olarak ortaya çıktığını burada belirtmekte fayda var. Diğer üyeler, artık aktif olmayan BlackCat, Hive, AvosLocker ve HelloKitty gibi gruplara katıldı.
Almanya Federal Kriminal Polis Ofisi (BKA veya Bundeskriminalamt), “Grubun başkanı olarak görev yaptı. Bu şekilde kimin veya hangi kuruluşların saldırıların hedefi olacağına karar verdi, üyeler topladı, onlara görevler verdi, fidye görüşmelerinde yer aldı, gasp yoluyla elde edilen fidyeyi yönetti ve bunu grup üyelerine ödeme yapmak için kullandı.”
Sızıntılar Black Basta’nın görünürdeki ölümüne yol açtı; grup Şubat ayından sonra sessiz kaldı ve o ayın sonunda veri sızıntısını ortadan kaldırdı. Ancak kapandığı, yeniden markalaştığı ve farklı bir kimlik altında yeniden ortaya çıktığı bilinen fidye yazılımı çeteleri göz önüne alındığında, eski suç örgütünün üyelerinin diğer fidye yazılımı gruplarına yönelmesi veya yeni gruplar oluşturması şaşırtıcı olmayacaktır.
Aslında, ReliaQuest ve Trend Micro’dan gelen raporlara göre, eski Black Basta bağlı kuruluşlarından birkaçının CACTUS fidye yazılımı operasyonuna geçmiş olabileceğinden şüpheleniliyor; bu değerlendirme, Şubat 2025’te Black Basta’nın sitesinin çevrimdışı olmasıyla aynı zamana denk gelen, CACTUS’un veri sızıntısı sitesinde adı geçen kuruluşlarda büyük bir artış olduğu gerçeğine dayanıyor.