Septiembre de 2020: un afiliado de la compañía de ransomware Revil revela los detalles de un ataque cibernético que llevó a cabo unos meses antes contra la compañía francesa Elior. En ese momento, el ransomware ya era una amenaza significativa, pero en ningún lugar cerca de la escala estaba a punto de asumir. Fue en este momento, sin embargo, los periodistas del sitio hermano francés de Computer Weekly, Lemagit, comenzaron a monitorear los desarrollos mensualmente.
Algunos de los principales jugadores en esta amenaza que están activos hoy ya estaban activos en ese momento. La siguiente cuenta arroja nueva luz sobre cómo es probable que se beneficien de sus ganancias, así como el nivel de protección que pueden reclamar, correcto o incorrectamente, para escapar de la justicia.
Ereván, junio de 2024
El viernes 21 de junio de 2024, en American Street en Ereván, la aventura está a punto de dar un giro inesperado para el hombre que parece ser uno de ellos.
Oleg Nefedov fue arrestado por la policía local a las 11 a.m. en la calle en la capital armenia que conduce a la embajada de los Estados Unidos y corre junto al río Hrazdan.
A las 1.30 p.m. del día siguiente, el fiscal solicitó que lo fueran bajo custodia. Mientras tanto, Armenia había obtenido y había traducido los documentos requeridos para su extradición. Fue objeto de un aviso de Interpol Red, que no se hizo público.
La audiencia está programada para el lunes 24 de junio a las 10 a.m. Suficiente, en teoría. El sitio de los medios de comunicación armenios 168.am, que informó los eventos, explica que la decisión de remitirlo bajo custodia debe tomarse dentro de las 72 horas del arresto, antes de las 11 a.m. del 24 de junio. Pero se perdió la fecha límite, por razones que no se especificaron. A las 4 p.m., Oleg Nefedov fue liberado. La oficina del fiscal general confirmó los hechos en un comunicado de prensa del 20 de septiembre.
La noticia pasó casi desapercibida. El 16 de diciembre de 2024, una fuente contactó a Lemagit. Estaba seguro de que el hombre que usó el seudónimo de vagabundo, un ex miembro del difunto Conti y uno de los líderes de la pandilla de ransomware negra Basta, era el mismo Oleg Nefedov que había sido arrestado en Erevan al final del junio anterior: “También conozco a Tramp bajo el nombre de Oleg Y. Nefedov”, dice, y agregó que solía trabajar con él.
“Tiene la mejor protección en Rusia. Tiene amigos en los servicios de seguridad. Incluso paga al FSB y al Gru”, explica esta fuente. Estos son los servicios de inteligencia rusos. “Ya nadie tiene ese tipo de dinero o ese nivel de seguridad”, agregó la fuente.
De hecho, esto es lo que Tramp, también conocido por los seudónimos AA y GG, dijo a uno de sus socios, DD, el 14 de noviembre de 2022: “Tengo muchachos de Lubyanka [FSB headquarters in Moscow] Y el Gru, los he estado alimentando durante mucho tiempo “, según un registro de intercambios privados que probablemente tuvieron lugar en el servicio de mensajería cifrado Tox. Estos intercambios se proporcionaron a Lemagit el 30 de diciembre de 2024, así como a sus colegas de la revista alemana Der Spiegel (Ver imagen, a continuación).
Lemagit
¿Pero Tramp es realmente Oleg? Otras fuentes lo han dicho, bajo condición de anonimato. Hay muchas pruebas para apoyar estas afirmaciones.
Vagado cuestionado
Un análisis de la actividad asociado con el seudónimo GG en intercambios en la instancia de matriz de Black Basta es preocupante: muestra una ausencia total de actividad del 21 de junio de 2024 al 2 de julio inclusive.
Cuando Tramp volvió en línea el 3 de julio, dijo que tenía una computadora nueva y que había cambiado su cuenta de telegrama. Explicó que había perdido su computadora anterior, “y no solo eso. Es una historia larga”, dice: “Ha sido difícil en la vida real. No sé por dónde empezar …”
Pero, como señaló el investigador y especialista en inteligencia humana Liontamer, Tramp confió a los miembros de la pandilla Chuck, a quien había conocido por “tantos años”, unas horas después: “Los policías me atraparon”. Menciona una recompensa por “información sobre tr [potentially Trickbot, but the pseudonym Tramp has also been openly designated by the American justice system]. 10 millones “. Continúa diciendo que había visto su archivo,” pero no me mostraron todo “. Tenía que ser extraditado.
Lemagit
El mismo día, Chuck dice que quiere unas vacaciones: “No vayas a ningún lado. Quédate en casa”, le aconseja Tramp. Chuck dice que ha reservado boletos para Kaliningrado. Tramp insiste: “Tenemos que proteger a todos ahora”. Chuck finalmente renuncia a sus planes: “Estoy cancelando; voy a Karelia”. Tramp explica que ha visto todos los seudónimos de los miembros de Black Basta en el archivo que se le presentó.
Él dice que se benefició de una protección de muy alto nivel, “al nivel de nuestro número 1”: “Logré llamar. Solo pedí un pase. Inmediatamente me fueron”.
Relaciones altamente colocadas
¿Hay más detalles? “No puedo decir nada sobre cómo salí y quién ayudó. Pero me han dicho que el número 1 me conoce y que, sin su acuerdo, no habrían hecho nada”, asegura Tramp. Chuck luego preguntó: “Putin, ¿verdad?” Tramp no diría más.
A.Savin – Personal de Tavail, CC BY -SA 3.0
El 7 de julio, sin embargo, se volvió más hablador, lo que indica que su teléfono había sido incautado. Dijo que un “ellos” no especificado “tenían” acceso total a Apple. Están conectados a todo el planeta. Lo saben todo “. Como resultado, “Apple está muerto. […] Tenemos que limpiar todo allí “.
Pero Chuck está preocupado: alguien le ha dicho que las agencias de aplicación de la ley de los Estados Unidos lo buscan. Alguien a quien paga todos los meses para protegerlo en caso de que el FSB venga a buscarlo. Teme que los servicios rusos “comenzarán a extorsionar [them] o fuerza [them] trabajar para ellos, a cambio de protección “. Puede tener un punto.
El 16 de septiembre de 2024, YY llamó a Tramp. Al hacerlo, reveló un alias bajo el cual era conocido por sus actividades con el difunto Conti: “Hola Tramp, es bio.
Lemagit
Según él, fue un intercambio de criptomonedas que lo traicionó: “No pudieron encontrar nada más que mis últimas tres transacciones (alrededor de 3 BTC). En resumen, me mantuvieron en detención preventiva y luego me liberaron. Por el momento, siento que estoy siendo observado, así que estoy manteniendo una pena. […]pero espero recuperarlos pronto.
Bio solicitará varios pagos de unos pocos cientos de dólares de Tramp. El 10 de noviembre de 2024, consolidará 20 bitcoins en Kraken.
Un lujoso estilo de vida
Oleg celebrará en breve su 35 cumpleaños. Viene de Iochkar-Ola, una ciudad de más de 260,000 habitantes a 850 km al este de Moscú y a 60 km de la Volga, capital de la República Mari.
AlexXX1979 – Personal de Tavail, CC BY -SA 4.0
Parece haber tenido un gran interés en las criptomonedas. Una cuenta en BTC-E.com se ha asociado con él. Este servicio de divisas sufrió una violación de datos en 2014.
En 2017, trabajó en Bitsoft, que luego se presentó como “la compañía rusa más grande en el campo de la minería en la nube de Ethereum, Litecoin y Zcash”. Registró varios nombres de dominio, incluido uno en julio de 2017. Lemagit los rastreó utilizando datos históricos de Whois y un número de teléfono. La dirección? IOCHKAR-OLA.
A partir de estos datos, Lemagit también encontró un número de teléfono que, por un tiempo, estaba directamente vinculado al nombre “Mr Tramp” en Truecaller, pero también enumerada en otro lugar como Oleg Nefedov, así como la dirección asociada con su cuenta de Apple iCloud.
Oleg declara ingresos desde BitSoft hasta 2021. Durante el período, este ingreso no es impresionante: 60,000 rublos en 2017 y 2018, o alrededor de € 900 al año. Es un poco mejor en 2019, con más de 261,000 rublos, o alrededor de € 3,600 al tipo de cambio promedio para ese año. Después de eso, recibirá ingresos de Polis, una compañía que se lanzará a fines de 2023. Bitsoft sufrirá el mismo destino en agosto de 2024.
Daimler AG
Eso no le impidió conducir un BMW X6 M50D en 2019. En 2021, fue atrapado a toda velocidad en un Mercedes AMG S63 4Matic – Más de 60 km/h sobre el límite. También condujo un Porsche Macan.
A principios de 2024, hizo reemplazar los papeles en su camioneta Mercedes V-Class. En ese momento, también tenía un Mercedes GLE 400 d 4matic. Unos meses antes, cambió la dirección para su SUV AMG G63 G63 de Clase G.
Desde al menos 2022, Oleg ha estado invirtiendo en salones de primera categoría bajo una marca en la que posee una parte de la propiedad intelectual. La marca está presente en todo el mundo, desde Dubai y Abu Dhabi hasta Bakú, Moscú y Bali. A finales de agosto de 2024, fundó una organización benéfica llamada Rodina – Motherland en ruso.
Vagabundo, chico dorado de ransomware
Según Lemagit Analysis, Tramp tiene al menos 20 bitcoins a su nombre y controló al menos 2.000 en enero de 2023, media sorpresa. En el otoño de 2021, Lemagit había rastreado los millones de dólares en pagos de ransomware obtenidos por Conti durante los meses anteriores. En noviembre de 2023, elíptico y Corvus Insurance estimaron que Black Basta no había hecho peor, recaudando más de $ 100 millones en pagos de rescate en casi dos años de actividad.
En Francia, Black Basta atacó a Oralia en abril de 2022, seguido de H-Tube, Villa Florek, Envea, DuPont Restaurations y Baccarat. En total, más de 520 víctimas de Black Basta son conocidas públicamente, en comparación con más de 350 para Conti.
En los intercambios proporcionados a fines de diciembre del año pasado, se le pidió a Tramp dos veces que realice pagos en Bitcoins. Al menos uno de los pagos provino de una dirección que se sabe que es controlada por Tramp.
Pero Tramp, que también es conocido por el seudónimo “P1JA”, no llegó al mundo del ransomware con la aparición de Conti, el negocio de extinción cibernética que se vino abajo en 2022, poco después de que Rusia invadió Ucrania.
Según la información de Lemagit, ha estado involucrado en tales actividades durante mucho más tiempo. En extractos de discusiones privadas entre Tramp y SSD, en noviembre de 2022, hay una referencia al nombre del sistema de Windows: WIN-7PV24JSN83C.
Red Hot CybeR señaló este nombre de la máquina en agosto de 2022. Lemagit lo observó para 28 víctimas que afirman ser Lockbit – 2.0 y 3.0 – durante ese mismo año. Presumiblemente correspondiente a una máquina virtual alojada, este nombre no estaba muy extendido en ese momento: en agosto de 2022, el shodan especializado en el motor de búsqueda contó alrededor de 200 ocurrencias, incluidos más de 190 en direcciones IP geolocadas en Rusia.
Un conflicto con Revil
Y eso no es todo. Ya sea en los intercambios divulgados en febrero de 2025 o en los enviados a fines de diciembre de 2024, Tramp parece usar regularmente la contraseña 123123 para proteger archivos que son relativamente insensibles o solo disponibles temporalmente. Y es más o menos el único.
Lemagit observó este comportamiento en dos negociaciones bajo el Banner Revil a principios de 2021, luego dos más bajo la marca Conti unos meses después. Antes de esto, el código fuente de Crysis 3 filtrado por Egregor en 2020 había estado en un archivo protegido por la misma contraseña.
Lemagit
En mayo de 2021, en uno de los foros bien conocidos por ser frecuentados por ciberdelincuentes, P1JA solicitó el arbitraje para una disputa con otro usuario: “Soy un Pentester y trabajé con el programa de afiliados de Revil”. Su acceso a la interfaz de negociación con sus víctimas acababa de ser retirado.
En este mismo foro, Tramp también estaba activo bajo el seudónimo “Washingt0n32”. Se registró allí en agosto de 2020. En ese momento afirmó tener experiencia en “más de 10 años” en pruebas de penetración.
Lemagit y Der Spiegel Se buscó conjuntamente comentarios de Oleg Nefedov, sin éxito. El sitio web de Black Basta y la interfaz comercial han sido inaccesibles durante casi dos semanas al momento de la publicación. Según fuentes corroborantes, algunos miembros del grupo ya se mudaron a Akira y Cactus, entre otros.