El 20 de febrero, cada investigador de inteligencia de amenazas cibernéticas en el planeta descubrió una nueva mina de oro, un documento de tamaño de casi 50 MB presentado como la historia de los intercambios internos en el Grupo de Ransomware Black Basta.
La referencia cruzada de las víctimas de ataques cibernéticos mencionados en este archivo con víctimas conocidas y, en algunos casos, sus cuentas, ha confirmado la autenticidad del documento. Pero hay más.
Según los autores de la fuga, que había estado esperando ser descubierto desde el 11 de febrero, detrás del seudónimo GG es Tramp, uno de los líderes del grupo, conocido bajo este seudónimo desde la implosión de Conti a principios de 2022, después de la invasión de Rusia de Ucrania. Algunos de los intercambios en la instancia de matriz desde la cual se originó la fuga se refieren a conversaciones TOX que muestran que Tramp también usa el seudónimo AA.
Los flujos financieros confirman esto. El 10 de abril de 2023, Tramp realizó un pago a Ugway en la dirección 1fomikeVryqivPBQogytrnor1mzsppbbwz (transacción 11824680b6f06876eb33560354b8777801579be9a2ac1d4264e085254cdf766a4d).
La dirección de la que se originaron los bitcoins en cuestión se alimentó con fondos, algunos de los cuales se usaron para alimentar una dirección que se sabe que está vinculada a Tramp: 16oosqz7b9vsdiz8qbwpcoxrkqwq3t43bi. Se usó del 29 de septiembre de 2022 al 29 de mayo de 2024, con 347 transacciones por un total de casi 704 bitcoins recibidos durante el período.
El mismo enlace se aplica a un pago realizado por Tramp a Tinker en 1fputCyl6S6UQQVW4ETCOAVQJRFX3BFHDE (Transacción F11E1AF8EA6352B62A50C6611FC09444CBF0FA1D4BF5BBFC22A3F02017F475F2555) ON 12 FEBRESTRA.
Bonos peligrosos
Entre los involucrados en las actividades de Black Basta, uno merece una atención particular: un individuo que usa el SSD del seudónimo. El 10 de noviembre de 2023, Tramp pidió que se creara una cuenta para él en la instancia de matriz del grupo. SSD inició sesión de inmediato. Pronto se involucró mucho: había 1,640 mensajes de él en diciembre de 2023.
Aunque principalmente habla ruso, sus mensajes a veces son interpretados por el software de traducción como en búlgaro o eslovaco.
En Tox, SSD también usa el seudónimo DD. Es con esto que se pone en contacto con el nombre de usuario alrededor del 7 de diciembre de 2023. El nombre de usuariojj parece conocerlo y lo presenta como un “сетевик”. De hecho, sus actividades parecen estar más relacionadas con la compensación de código malicioso para evitar la detección.
Pero SSD no estará con el grupo por mucho tiempo, el último mensaje data del 17 de febrero de 2024. Después de eso, el silencio de radio, al menos en la instancia de matriz del grupo.
Esto se debe a que SSD y Tramp ya se conocían, potencialmente durante mucho tiempo, según los registros proporcionados por una fuente anónima el 30 de diciembre. Estos muestran intercambios privados regulares en TOX. La fecha más temprana disponible se remonta a finales de octubre de 2022, la más reciente hasta finales de febrero de 2023.
En él, Tramp menciona una cierta cercanía con Royal (ahora BlackSuit), cuyo ransomware para ESXi dice que ayudó a desarrollar, o al menos la automatización de su despliegue. También dice que, no necesariamente sorprendentemente, conoce el 90% de Conti.
El 12 de noviembre de 2022, Tramp declaró que regularmente “suministraba” servicios de inteligencia rusos, mencionando explícitamente el FSB y el GRU, y que trabajaba un “trabajo de escritorio” con horas fijas.
Un intento de regreso?
En sus intercambios privados, Tramp y SSD hablan en particular sobre una víctima reclamada bajo la marca Black Basta a principios de noviembre de 2022 – Servicios de consultoría e ingeniería MITCON. Un mes después, también se reclamó en el sitio web de Bianlian. Esta no fue la única víctima reclamada por Black Basta que los dos discutieron en privado, sin que se desarrollara en los intercambios que ahora se han revelado.
Después de su desaparición de la instancia de matriz de Black Basta, SSD parece haber regresado, o al menos intentado reconectarse con Tramp, indirectamente.
Nickolas parece haber tenido contacto con SSD a principios de mayo de 2024 e intenta hablar con Tramp al respecto. Él lo presenta como un gran conversador que ha logrado mantener un nivel de vida particularmente alto.
Nickolas sugiere que SSD logró ganar grandes sumas de dinero al redirigir a los usuarios a falsificar sitios de banca en línea para recuperar sus detalles de inicio de sesión y tokens de sesión. Los intercambios filtrados no proporcionan ningún detalle de lo que sucedió después.
La situación financiera de Tramp es envidiable. El seguimiento de los flujos financieros vinculados a sus actividades revela, por ejemplo, una dirección de bitcoin que contiene más de 20 bitcoins, con un valor de $ 2 millones al momento de escribir – 1bhukxyozuk5v6u83tggafyojitbw3japy. Esta dirección fue alimentada nuevamente el 28 de enero. Ha estado en uso activo desde septiembre de 2017. Pero también fue Tramp quien controló los más de 2,000 bitcoins que provienen de Conti consolidados el 17 de enero de 2023 en la dirección BC1Q77Q346N52L0SJ46DXFR9SH8XZ6NV9uXAKEXMGQ.
¿Vagabortismo?
Pero todo puede no estar rosado. Los autores de la divulgación reciente han asociado un nombre con el seudónimo de vagabundo: Oleg Nefedov: este nombre también aparece en las columnas del sitio de medios armenios 168.am.
Según las fuentes, Oleg Nefedov fue arrestado en Armenia el 21 de junio. Los tribunales locales debían gobernar sobre su destino dentro de las 72 horas. Sin embargo, al no cumplir con esta fecha límite, fue liberado. El juez responsable de esta situación ha sido sancionado.
Según los informes, Nefodov es buscado por las autoridades estadounidenses por su participación en transacciones fraudulentas multimillonarias. Hasta la fecha, el Departamento de Justicia de los Estados Unidos no ha hecho pública contra él.
Un análisis de la actividad asociada con el seudónimo GG en los intercambios en la instancia de matriz de Black Basta muestra una ausencia total de actividad del 21 de junio de 2024 al 2 de julio inclusive.