20 Şubat’ta, gezegendeki her siber tehdit istihbaratı araştırmacısı yeni bir altın madeni keşfetti – siyah Basta fidye yazılımı grubunda iç değişimlerin tarihi olarak sunulan neredeyse 50MB boyutunda bir belge.
Bu dosyada bahsedilen siber saldırıların kurbanlarının bilinen kurbanlar ve bazı durumlarda hesaplarının çapraz referanslanması, belgenin gerçekliğini doğruladı. Ama daha fazlası var.
11 Şubat’tan beri keşfedilmeyi bekleyen sızıntının yazarlarına göre, GG’nin takma adının arkasında, grubun liderlerinden biri olan Tramp, 2022’nin başlarında Conti’nin patlamasından bu yana bu takma ad altında bilinen Tramp Ukrayna. Matris örneğindeki sızıntının ortaya çıktığı bazı borsalar, Tramp’ın AA takma adını kullandığını gösteren Tox konuşmalarına atıfta bulunur.
Finansal akışlar bunu doğrular. 10 Nisan 2023’te Tramp, Ugway’e 1fomikevryqivpbqogytrnor1mzsppbbwz adresinde bir ödeme yaptı (işlem 11824680b6f06876eB33560354b8780579be9a2ac1d4264e085254cdf76664e08e0
Söz konusu bitcoinlerin ortaya çıktığı adres, bazıları TRAMP ile bağlantılı olduğu bilinen bir adresi beslemek için kullanılan fonlarla beslendi: 16OOSQZZ9VSDIZ8QBWPCOXRKQWQ3T43BI. 29 Eylül 2022’den 29 Mayıs 2024’e kadar kullanıldı ve dönem boyunca toplam 347 işlem yaklaşık 704 bitcoin alındı.
Aynı bağlantı, TRAMP tarafından 1fputcyl6s6uqqvw4etcoAvqjrfx3bfhde (işlem f11e1af8ea6352bf0fa1d4bf5bbfc22a3f02017f5bbfc22a3f02017f5bbfc22a3f02017f5bbfc22A3f02017f5bbfc24.
Tehlikeli Tahviller
Black Basta’nın faaliyetlerine katılanlar arasında, biri SSD takma adını kullanan bir kişi – özellikle ilgiyi hak ediyor. 10 Kasım 2023’te Tramp, grubun Matrix örneğinde kendisi için bir hesap oluşturulmasını istedi. SSD hemen giriş yaptı. Kısa süre sonra yoğun bir şekilde dahil oldu – Aralık 2023’te ondan 1.640 mesaj vardı.
Esas olarak Rusça konuşmasına rağmen, mesajları bazen çeviri yazılımı tarafından Bulgar veya Slovakça olarak yorumlanır.
Tox’ta SSD ayrıca DD takma adını kullanır. Bununla 7 Aralık 2023 civarında Usernameyy ile iletişime geçiyor. Usernamejj onu tanıyor gibi görünüyor ve onu “с севик” olarak tanıtıyor. Aslında, faaliyetleri algılamayı önlemek için kötü amaçlı kod oluşturma ile daha fazla ilişkili görünmektedir.
Ancak SSD uzun süredir grupla birlikte olmayacak – son mesaj 17 Şubat 2024’ten itibaren. Bundan sonra radyo sessizliği – en azından grubun matris örneğinde.
Bunun nedeni, SSD ve Tramp’ın 30 Aralık’ta anonim bir kaynak tarafından sağlanan günlüklere göre, potansiyel olarak uzun süre birbirlerini tanıyorlardı. Bunlar Tox’ta düzenli özel borsalar gösteriyor. Mevcut en erken tarih, en son Şubat 2023’ün sonuna kadar Ekim 2022’nin sonuna kadar uzanıyor.
İçinde, ESXI için fidye yazılımı geliştirmeye veya en azından konuşlandırmasının otomasyonunun otomasyonunu söylediği Royal’e (şimdi Blacksuit) belirli bir yakınlıktan bahsediyor. Ayrıca – şaşırtıcı bir şekilde – Conti’nin% 90’ını bildiğini söylüyor.
12 Kasım 2022’de Tramp, Rus istihbarat hizmetlerini düzenli olarak “tedarik ettiğini”, açıkça FSB ve GRU’dan bahsettiğini ve sabit saatlerle bir “masa işi” çalıştığını belirtti.
Bir geri dönüş denemesi mi?
Özel borsalarında Tramp ve SSD, Kasım 2022’nin başında Black Basta markası altında iddia edilen bir kurban hakkında konuşuyor – MITCON Danışmanlığı ve Mühendislik Hizmetleri. Bir ay sonra Bianlian web sitesinde de iddia edildi. Bu, Black Basta tarafından, ikisinin şu anda açıklanmış olan borsalarda geliştirilmeden özel olarak tartıştığı iddia edilen tek kurban değildi.
Black Basta’nın matris örneğinden kaybolduktan sonra, SSD bir geri dönüş yapmış gibi görünüyor veya en azından dolaylı olarak TRAM ile yeniden bağlantı kurmaya çalıştı.
Nickolas, Mayıs 2024 başında SSD ile temas etmiş gibi görünüyor ve Tramp ile bu konuda konuşmaya çalışıyor. Onu özellikle yüksek bir yaşam standardı sürdürmeyi başaran büyük bir konuşmacı olarak sunuyor.
Nickolas, SSD’nin giriş bilgilerini ve oturum belirteçlerini kurtarmak için kullanıcıları sahte çevrimiçi bankacılık sitelerine yönlendirerek büyük miktarlarda para kazanmayı başardığını öne sürüyor. Sızan borsalar bir sonraki adımın ne olduğuna dair herhangi bir ayrıntı vermez.
Tramp’ın finansal durumu kıskanılacak. Faaliyetlerine bağlı finansal akışların izlenmesi, örneğin, 20’den fazla bitcoin tutan bir bitcoin adresi – yazma sırasında 2 milyon dolar değerinde – 1bhukxyozuk5v6u83tggafyojitbw3japy. Bu adres 28 Ocak’ta tekrar beslendi. Eylül 2017’den bu yana aktif olarak kullanılmaktadır. Ancak 17 Ocak 2023’te BC1Q77Q346N52L0SJ46DXFR9SH8XZ6NV9uxakexmgq adresinde Conti’den gelen 2.000’den fazla bitcoin’i kontrol eden Tramp oldu.
Tramp mı istedi?
Ama hepsi pembe olmayabilir. Son açıklamanın yazarları, bir adı TRAMP takma adıyla ilişkilendirmiştir: Oleg Nefedov – Bu isim, Ermeni medya sitesinin sütunlarında da görünür.
Kaynaklara göre, Oleg Nefedov 21 Haziran’da Ermenistan’da tutuklandı. Yerel mahkemeler 72 saat içinde kaderini yönetecekti. Ancak, bu son teslim tarihini karşılayamadı, serbest bırakıldı. Bu durumdan sorumlu yargıç onaylanmıştır.
Nefodov’un ABD yetkilileri tarafından milyarlarca dolarlık hileli işlemlere dahil olduğu için istendiği bildiriliyor. Bugüne kadar, ABD Adalet Bakanlığı tarafından kendisine karşı herhangi bir iddianame kamuya açıklanmadı.
Siyah Basta’nın matris örneğindeki borsalarda GG takma adı ile ilişkili faaliyetin bir analizi, 21 Haziran 2024’ten 2 Temmuz’a kadar toplam aktivite yokluğunu göstermektedir.