Le autorità ucraine e tedesche hanno identificato due cittadini ucraini sospettati di aver collaborato con Black Basta, un gruppo ransomware as a service collegato alla Russia e noto per attacchi informatici contro aziende in Nord America, Europa e Australia. L’indagine descrive un modello operativo tipico del ransomware moderno, dove ruoli diversi lavorano in modo coordinato per ottenere accesso iniziale, muoversi nella rete e infine cifrare i dati per chiedere un riscatto in criptovaluta.

Secondo le informazioni rese note, i due sospettati avrebbero svolto il ruolo di hash cracker, cioè specialisti nel recupero di password da sistemi informativi tramite software dedicati. In pratica, una volta ottenute credenziali valide, il gruppo poteva entrare nelle reti aziendali, aumentare i privilegi, distribuire il ransomware e avviare l’estorsione, spesso con la minaccia aggiuntiva di pubblicare dati rubati. Durante le perquisizioni nelle aree di Ivano-Frankivsk e Lviv sarebbero stati sequestrati dispositivi di archiviazione digitale e asset in criptovaluta, elementi che rafforzano la componente economica e transnazionale del cybercrime.

Parallelamente, le autorità hanno indicato come presunto leader del gruppo un cittadino russo di 35 anni, Oleg Evgenievich Nefedov, inserito sia nella lista EU Most Wanted sia in una Red Notice di Interpol. Questo passaggio segnala un aumento della pressione internazionale contro le organizzazioni ransomware, che negli ultimi anni hanno accumulato profitti enormi tramite pagamenti illeciti. Black Basta è attivo dal 2022 e viene associato a oltre 500 vittime, con guadagni stimati in centinaia di milioni di dollari in criptovalute.

Un elemento chiave emerso è la fuga online di chat interne e documenti del gruppo, che avrebbe rivelato struttura, membri e vulnerabilità sfruttate per compromettere le organizzazioni. Nefedov risulterebbe noto anche con diversi alias e, secondo analisi successive, potrebbe aver evitato conseguenze giudiziarie nonostante un arresto avvenuto nel 2024, con una posizione attuale non confermata.

Il caso evidenzia anche come i gruppi ransomware possano chiudere, ribrandizzarsi e riemergere con un’altra identità. Dopo un periodo di silenzio e la rimozione del sito di data leak, diversi segnali suggeriscono che ex affiliati possano essersi spostati verso altre operazioni ransomware, mantenendo tecniche e reti di accesso simili.