Ucraina e Germania smantellano Black Basta? 2 arresti per ransomware, coinvolto un russo

Quando si parla di cybersecurity, non è raro imbattersi in notizie che sembrano prese da un film di fantascienza. Eppure, la realtà è ancora più sorprendente e a volte inquietante. La storia dei due cittadini ucraini sospettati di far parte del gruppo ransomware Black Basta è un esempio lampante di come la minaccia informatica sia una realtà sempre più concreta e pericolosa.

Le autorità ucraine e tedesche hanno identificato due cittadini ucraini sospettati di far parte di Black Basta, un gruppo ransomware (RaaS) collegato alla Russia.

Secondo la Polizia informatica ucraina, i sospettati erano specializzati nell’hacking tecnico di sistemi protetti e partecipavano alla preparazione di attacchi informatici tramite ransomware. In particolare, gli individui agivano come “hash cracker”, professionisti nell’estrazione di password dai sistemi informatici mediante software dedicati. Le credenziali ottenute venivano poi utilizzate per infiltrarsi nelle reti aziendali, installare ransomware e richiedere riscatti per il recupero dei dati crittografati.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il presunto leader del gruppo, Oleg Evgenievich Nefedov, cittadino russo di 35 anni, è stato inserito nella lista dei criminali più ricercati dell’Unione Europea e tra le persone segnalate come pericolose dall’INTERPOL. Le autorità hanno eseguito perquisizioni nelle abitazioni dei sospetti a Ivano-Frankivsk e Leopoli, sequestrando dispositivi digitali e asset in criptovaluta.

Black Basta: storia e operatività

Black Basta è comparso per la prima volta nel panorama delle minacce informatiche nell’aprile 2022. Il gruppo ha preso di mira oltre 500 aziende in Nord America, Europa e Australia e molte anche in Italia, accumulando, secondo stime, centinaia di milioni di dollari in criptovalute attraverso pagamenti illeciti.

All’inizio del 2025, sono trapelati online registri di chat interne di Black Basta relativi a un anno di attività, rivelando dettagli sulla struttura interna, sui membri chiave e sulle vulnerabilità sfruttate per penetrare nelle organizzazioni bersaglio. Da questi documenti è emerso che Nefedov era a capo del gruppo, utilizzando diversi alias, tra cui Tramp, Trump, GG e AA. Alcuni rapporti lo collegano a figure politiche russe e agenzie di intelligence come FSB e GRU, connessioni che avrebbe sfruttato per proteggere le proprie operazioni e sfuggire alla giustizia internazionale.

Collegamenti con altri gruppi ransomware

Le indagini suggeriscono anche un legame tra Nefedov e Conti, gruppo ransomware attivo dal 2020 e ormai sciolto, successore di Ryuk. Nel 2022, il Dipartimento di Stato americano aveva annunciato una ricompensa di 10 milioni di dollari per informazioni su cinque membri di Conti, tra cui Target, Tramp, Dandis, Professor e Reshaev.

Dopo il ritiro di Conti nel 2022, Black Basta è emerso come gruppo autonomo insieme a BlackByte e KaraKurt, mentre altri ex membri si sono uniti a BlackCat, Hive, AvosLocker e HelloKitty, oggi inattivi.

Secondo il Bundeskriminalamt (BKA), Nefedov gestiva tutte le operazioni del gruppo: decideva gli obiettivi, assegnava compiti, partecipava alle trattative per i riscatti e amministrava i fondi ottenuti tramite estorsione.

Le fughe di dati hanno portato a una apparente inattività di Black Basta a partire da febbraio 2025, con il blocco dei siti per la diffusione dei dati rubati. Tuttavia, esperti di sicurezza sottolineano che i membri di bande ransomware tendono a riciclarsi in nuovi gruppi o a rinascere sotto nuove identità. Alcune analisi di ReliaQuest e Trend Micro indicano che diversi ex affiliati di Black Basta potrebbero essere entrati a far parte dell’operazione ransomware CACTUS, con un picco di attacchi rilevato a febbraio 2025, in concomitanza con la chiusura del sito di Black Basta.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.