في 20 فبراير ، اكتشف كل باحث في استخبارات تهديدات الإنترنت على هذا الكوكب منجمًا جديدًا للذهبي مجموعة Basta Ransomware Black.
المرجع المتبادل لضحايا الهجمات الإلكترونية المذكورة في هذا الملف مع ضحايا معروفين ، وفي بعض الحالات ، حساباتهم ، أكد صحة الوثيقة. ولكن هناك المزيد.
وفقًا لمؤلفي التسرب – الذي كان ينتظر اكتشافه منذ 11 فبراير – خلف الاسم المستعار GG هو Tramp ، أحد قادة المجموعة ، المعروف تحت هذا الاسم المستعار منذ انهيار كونتي في أوائل عام 2022 ، بعد غزو روسيا لأوكرانيا. تشير بعض التبادلات على مثيل المصفوفة الذي نشأ منه التسرب إلى محادثات Tox التي تظهر أن Tramp يستخدم أيضًا اسم مستعار AA.
تؤكد التدفقات المالية هذا. في 10 أبريل 2023 ، قام Tramp بدفع إلى Ugway على العنوان 1fomikevryQivpqogyTrnor1mzSpbbwz (المعاملة 11824680b6f06876eb33560354b877801579a2ac1d4264e085254cdf76a4d).
تم تغذية العنوان الذي نشأت منه Bitcoins المعنية بأموال ، تم استخدام بعضها لتغذية عنوان معروف بـ Tramp: 16OOSQZ7B9VSDIZ8QBWPCOXRKQWQ3T43BI. تم استخدامه من 29 سبتمبر 2022 إلى 29 مايو 2024 ، مع 347 معاملة بلغ مجموعها ما يقرب من 704 Bitcoins خلال الفترة.
ينطبق نفس الرابط على دفعة أجراها Tramp to Tinker في 1fputCyl6S6UQVW4ETCOAVQJRFX3BFHDE (المعاملة F11E1AF8EA6352B62A50C6617FC0944CBF0FA1D4BF5BFC22A3F017F47575F25
السندات الخطرة
من بين المشاركين في أنشطة Black Basta ، يستحق المرء اهتمامًا خاصًا – الفرد الذي يستخدم اسم مستعار SSD. في 10 نوفمبر 2023 ، طلب Tramp إنشاء حساب له على مثيل المصفوفة للمجموعة. قام SSD بتسجيل الدخول على الفور. سرعان ما أصبح متورطًا بشدة – كان هناك 1،640 رسالة منه في ديسمبر 2023.
على الرغم من أنه يتحدث بشكل أساسي الروسية ، إلا أن رسائله تفسر في بعض الأحيان بواسطة برنامج الترجمة على أنها باللغة البلغارية أو السلوفاكية.
على Tox ، يستخدم SSD أيضًا اسم مستعار DD. مع هذا ، يتواصل مع المستخدمين في حوالي 7 ديسمبر 2023. يبدو أن usernamejj يعرفه ويقدمه على أنه “сетвик”. في الواقع ، يبدو أن أنشطته أكثر ارتباطًا بالتكوين رمز ضار لتجنب الكشف.
لكن SSD لن يكون مع المجموعة لفترة طويلة – آخر رسالة يرجع تاريخها من 17 فبراير 2024. بعد ذلك ، صمت الراديو – على الأقل على مثيل المصفوفة للمجموعة.
وذلك لأن SSD و Tramp يعرفان بالفعل بعضهما البعض ، يحتمل أن يكونا لفترة طويلة ، وفقًا للسجلات التي يقدمها مصدر مجهول في 30 ديسمبر. هذه تظهر التبادلات الخاصة العادية على توكس. يعود تاريخ أقرب تاريخ متاح إلى نهاية أكتوبر 2022 ، وهو الأحدث حتى نهاية فبراير 2023.
في ذلك ، يذكر ترامب قربًا معينًا الملكي (الآن الحدادة)، لمن فدية ل ESXI يقول إنه ساعد في تطوير ، أو على الأقل أتمتة نشرها. كما يقول أنه – ليس بالضرورة بشكل مفاجئ – إنه يعرف 90 ٪ من كونتي.
في 12 نوفمبر 2022 ، صرح Tramp بأنه “قام” بانتظام “بتوفير” خدمات المخابرات الروسية ، مع ذكر صراحة FSB و GRU ، وأنه عمل “وظيفة مكتبية” مع ساعات ثابتة.
محاولة العودة؟
في التبادلات الخاصة بهم ، يتحدث Tramp و SSD على وجه الخصوص عن ضحية تم المطالبة بها بموجب العلامة التجارية Black Basta في بداية نوفمبر 2022 – خدمات الاستشارات والهندسة MITCON. بعد شهر ، تم المطالبة أيضًا على بيانلي موقع إلكتروني. لم يكن هذا هو الضحية الوحيدة التي ادعتها Black Basta التي ناقشها الاثنان على انفراد ، دون تطويرها في البورصات التي تم الكشف عنها الآن.
بعد اختفائه من مثيل المصفوفة في Black Basta ، يبدو أن SSD قد عاد ، أو على الأقل حاول إعادة الاتصال باستخدام Tramp ، بشكل غير مباشر.
يبدو أن نيكولاس كان على اتصال مع SSD في بداية مايو 2024 ويحاول التحدث إلى Tramp حول هذا الموضوع. يقدمه كمتكلم كبير تمكن من الحفاظ على مستوى معيشة عالي بشكل خاص.
يقترح Nickolas أن SSD تمكنت من كسب مبالغ كبيرة من المال من خلال إعادة توجيه المستخدمين إلى توزيعات المواقع المصرفية عبر الإنترنت من أجل استرداد تفاصيل تسجيل الدخول الخاصة بهم ورموز الجلسة. لا توفر التبادلات التي تم تسريبها أي تفاصيل عما حدث بعد ذلك.
الوضع المالي لترامب يحسد عليه. إن تتبع التدفقات المالية المرتبطة بأنشطته يكشف ، على سبيل المثال ، عنوان Bitcoin الذي يحمل أكثر من 20 Bitcoins – بقيمة 2 مليون دولار في وقت كتابة هذا التقرير – 1BHUKXYOZUK5V6U83TGGAFYOJITBW3JAMP. تم تغذية هذا العنوان مرة أخرى في 28 يناير. لقد كان في الاستخدام النشط منذ سبتمبر 2017. ولكن كان أيضًا من السيطرة على أكثر من 2000 Bitcoins التي جاءت من كونتي تم توحيده في 17 يناير 2023 على العنوان BC1Q77Q346N52L0SJ46DXFR9SH8XZ6NV9UXAKEXMGQ.
أراد ترامب؟
ولكن قد لا يكون كل شيء وردية. ارتبط مؤلفو الإفصاح الأخير اسمًا به اسم مستعار متدفق: Oleg Nefedov – يظهر هذا الاسم أيضًا في أعمدة موقع الوسائط الأرمنية 168.am.
وفقا للمصادر ، تم القبض على أوليغ نفيدوف في أرمينيا في 21 يونيو. كانت المحاكم المحلية بسبب الحكم على مصيره في غضون 72 ساعة. ومع ذلك ، فشل في تلبية هذا الموعد النهائي ، تم إطلاق سراحه. تمت الموافقة على القاضي المسؤول عن هذا الموقف.
يقال إن نيفودوف مطلوبة من قبل السلطات الأمريكية لتورطه في المعاملات الاحتيالية بمليارات الدولارات. حتى الآن ، لم يتم الإعلان عن أي لائحة اتهام ضده من قبل وزارة العدل الأمريكية.
يُظهر تحليل للنشاط المرتبط بـ GG المستقرة في التبادلات على مثيل المصفوفة في Basta الأسود غيابًا تامًا للنشاط من 21 يونيو 2024 إلى 2 يوليو.
