سبتمبر 2020: تكشف شركة Ransomware Company Revil عن تفاصيل الهجوم السيبراني الذي نفذه قبل بضعة أشهر ضد الشركة الفرنسية Elior. في ذلك الوقت ، كان Ransomware بالفعل تهديدًا كبيرًا ، ولكن في أي مكان بالقرب من المقياس ، كان على وشك الاستمرار. ومع ذلك ، في هذا الوقت ، كان الصحفيون في موقع Computer Weekly French Sister ، Lemagit، بدأت في مراقبة التطورات على أساس شهري.
كان بعض اللاعبين الرئيسيين في هذا التهديد النشطين اليوم نشطين بالفعل في ذلك الوقت. يلقي الحساب التالي ضوءًا جديدًا على كيفية احتمال استفادةهم من مكاسبهم ، وكذلك مستوى الحماية التي يمكنهم المطالبة بها – بشكل صحيح أو خطأ – للهروب من العدالة.
يريفان ، يونيو 2024
في يوم الجمعة 21 يونيو 2024 ، في أمريكان ستريت في يريفان ، فإن المغامرة على وشك أن تأخذ منعطفًا غير متوقع للرجل الذي يبدو أنه أحدهم.
ألقي القبض على أوليغ نفيدوف من قبل الشرطة المحلية في الساعة 11 صباحًا في الشارع في العاصمة الأرمنية التي تؤدي إلى السفارة الأمريكية وتشغيل إلى جانب نهر هرازدان.
في الساعة 1:30 مساءً في اليوم التالي ، طلب المدعي العام أن يتم حبسه في الحجز. في غضون ذلك ، كان أرمينيا قد حصل وترجم الوثائق المطلوبة لتسليمه. لقد كان موضوع إشعار أحمر إنتربول – الذي لم يتم الإعلان عنه.
من المقرر عقد الجلسة يوم الاثنين 24 يونيو في الساعة 10 صباحًا. كافية ، من الناحية النظرية. موقع الوسائط الأرمنية 168.AM ، التي أبلغت عن الأحداثيوضح أنه يجب اتخاذ قرار الاحتجاز في الحجز في غضون 72 ساعة من الاعتقال – قبل الساعة 11 صباحًا في 24 يونيو. ولكن تم تفويت الموعد النهائي ، لأسباب لم يتم تحديدها. في الساعة 4 مساءً ، تم إطلاق سراح أوليغ نيفيدوف. أكد مكتب المدعي العام الحقائق في بيان صحفي بتاريخ 20 سبتمبر.
مرت الأخبار دون أن يلاحظها أحد تقريبا. في 16 ديسمبر 2024 ، اتصل مصدر Lemagit. لقد كان إيجابيًا أن الرجل الذي استخدم الاسم المستعار Tramp – وهو عضو سابق في الراحل كونتي وأحد قادة عصابة Black Basta Ransomware – كان نفس أوليغ نيفيدوف الذي تم القبض عليه في يريفان في نهاية يونيو الماضي: “أعرف أيضًا ترام تحت اسم أوليغ ي.
“لديه أفضل حماية في روسيا. لديه أصدقاء في الخدمات الأمنية. حتى أنه يدفع FSB و GRU” ، يوضح هذا المصدر. هذه هي خدمات الاستخبارات الروسية. وأضاف المصدر “لا أحد لديه هذا النوع من المال أو هذا المستوى من الأمان بعد الآن”.
هذا بالفعل ما قاله ترامب ، المعروف أيضًا من قبل الأسماء المستعارة AA و GG ، لأحد شركائه ، DD ، في 14 نوفمبر 2022: “لدي شباب من Lubyanka [FSB headquarters in Moscow] و GRU ، لقد كنت أطعمهم لفترة طويلة ، “وفقًا لسجل التبادلات الخاصة التي ربما حدثت على توكس خدمة المراسلة المشفرة. تم توفير هذه التبادلات إلى Lemagit في 30 ديسمبر 2024 ، وكذلك للزملاء في مجلة الألمانية دير سبيجل ((انظر الصورة أدناه).
Lemagit
ولكن هل ترامب حقا أوليغ؟ قالت مصادر أخرى ، بشرط عدم الكشف عن هويته. هناك الكثير من الأدلة لدعم هذه التأكيدات.
استجوب ترامب
تحليل للنشاط المرتبط بالسماح المستمر GG في التبادلات على مثيل المصفوفة في Black Basta مقلقة – يظهر غيابًا تامًا للنشاط من 21 يونيو 2024 إلى 2 يوليو.
عندما عاد Tramp عبر الإنترنت في 3 يوليو ، قال إنه كان لديه جهاز كمبيوتر جديد وقام بتغيير حساب Telegram. وأوضح أنه فقد جهاز الكمبيوتر السابق ، “وليس ذلك فقط. إنها قصة طويلة” ، كما يقول: “لقد كان من الصعب في الحياة الحقيقية. لا أعرف من أين أبدأ …”
ولكن ، كباحث ومتخصص في الذكاء البشري Liontamer وأشار إلى أن ترامب أقدم في عضو العصابة تشاك ، الذي عرفه بـ “سنوات عديدة” ، بعد بضع ساعات: “اشتعلتني رجال الشرطة”. يذكر مكافأة عن “معلومات عن TR [potentially Trickbot, but the pseudonym Tramp has also been openly designated by the American justice system]. 10 ملايين “. يمضي قائلاً إنه رأى ملفه” ، لكنهم لم يريوني كل شيء “. كان لا بد من تسليمه.
Lemagit
في نفس اليوم ، يقول تشاك إنه يريد عطلة: “لا تذهب إلى أي مكان. ابق في المنزل” ، ينصحه ترامب. يقول تشاك إنه حجز تذاكر إلى Kaliningrad. يصر ترامب: “علينا حماية الجميع الآن”. أخيرًا ، يتخلى تشاك عن خططه: “أنا ألغي ؛ أنا ذاهب إلى كارليا”. يوضح ترامب أنه شاهد جميع الأسماء المستعارة لأعضاء Black Basta في الملف المقدم إليه.
يقول إنه استفاد من حماية رفيعة المستوى للغاية ، “على مستوى رقمنا 1”: “تمكنت من الاتصال. لقد طلبت فقط تمريرة. لقد أقلعوا لي على الفور”.
العلاقات عالية وضع
أي تفاصيل أخرى؟ “لا أستطيع أن أقول أي شيء عن كيفية خروجي ومن ساعد. لكن قيل لي إن الرقم الأول يعرفني وأنه ، دون موافقته ، لم يفعلوا أي شيء” ، يؤكد ترامب. ثم سأل تشاك: “بوتين ، أليس كذلك؟” لن يقول ترامب أكثر.
A.Savin – موظفي Travail ، CC BY -SA 3.0
في 7 يوليو ، أصبح أكثر ثرثرة ، مما يشير إلى أن هاتفه قد تم الاستيلاء عليه. وقال إن “غير محدد” “لديهم” الوصول الكامل إلى Apple. إنهم متصلون بالكوكب بأكمله. إنهم يعرفون كل شيء “. نتيجة لذلك ، “أبل قد ماتت. […] علينا أن ننظف كل شيء هناك “.
لكن تشاك قلق: أخبره أحدهم أنه مطلوب من قبل وكالات إنفاذ القانون الأمريكية. شخص يدفعه كل شهر لحمايته في حال جاء FSB يبحث عنه. يخشى أن تبدأ الخدمات الروسية في الابتزاز [them] أو القوة [them] للعمل من أجلهم ، في مقابل الحماية “. قد يكون لديه نقطة.
في 16 سبتمبر 2024 ، دعا YY Tramp. من خلال القيام بذلك ، كشف عن اسم مستعار كان معروفًا بأنشطته مع الراحل كونتي: “مرحبًا ترامب ، إنه سيرة ذاتية. لقد أطلق سراحني ، آسف لم أستطع أن أحذرك. كاد المغيرين المقنعون كل عظم في جسدي عندما جاءوا ، لكن لحسن الحظ كان لدي وقت للانفصال عن الخادم.
Lemagit
ووفقًا له ، فقد كان تبادل عملة مشفرة خانته: “لم يتمكنوا من العثور على أي شيء آخر غير معاملاتي الثلاثة الأخيرة (حوالي 3 BTC). […]، لكنني آمل أن أعيدهم قريبًا.
سيطلب السيرة الذاتية عدة مدفوعات بضع مئات من الدولارات من Tramp. في 10 نوفمبر 2024 ، سيقوم بتوحيد 20 بيتكوين في Kraken.
نمط حياة فخم
سيحتفل أوليغ قريبًا بعيد ميلاده الخامس والثلاثين. يأتي من Iochkar-Ola ، وهي بلدة تضم أكثر من 260،000 نسمة على بعد 850 كم شرق موسكو و 60 كم من Volga ، عاصمة جمهورية ماري.
Alexxx1979 – موظفي Travail ، CC BY -SA 4.0
يبدو أنه كان لديه اهتمام شديد في العملات المشفرة. ارتبط حساب على BTC-E.com معه. عانت خدمة الصرف الأجنبي هذه من خرق البيانات في عام 2014.
في عام 2017 ، عمل في Bitsoft ، التي قدمت نفسها “أكبر شركة روسية في مجال التعدين السحابي لـ Ethereum و Litecoin و Zcash”. قام بتسجيل عدة أسماء النطاقات ، بما في ذلك واحدة في يوليو 2017. قام Lemagit بتتبعها باستخدام بيانات Whois التاريخية ورقم هاتف. العنوان؟ Iochkar-ola.
من هذه البيانات ، وجد Lemagit أيضًا رقم هاتف كان ، لفترة من الوقت ، مرتبطًا مباشرة باسم “Mr Tramp” في Truecaller ، ولكنه مدرج أيضًا في مكان آخر باسم Oleg Nefedov ، وكذلك العنوان المرتبط بحساب Apple Icloud الخاص به.
يعلن Oleg الدخل من Bitsoft حتى عام 2021. خلال هذه الفترة ، لا يكاد يكون هذا الدخل مثيرًا للإعجاب: 60،000 روبل في عامي 2017 و 2018 ، أو حوالي 900 يورو سنويًا. إنه أفضل قليلاً في عام 2019 ، مع أكثر من 261000 روبل ، أو حوالي 3600 يورو بمتوسط سعر الصرف لتلك السنة. بعد ذلك ، سيحصل على دخل من Polis ، وهي شركة ستنتهي في نهاية عام 2023. ستعاني Bitsoft من نفس المصير في أغسطس 2024.
Daimler AG
لم يمنعه ذلك من قيادة سيارة BMW X6 M50D في عام 2019. في عام 2021 ، تم القبض عليه سريعًا في مرسيدس AMG S63 4MATIC – أكثر من 60 كم/ساعة على الحد الأقصى. كما قاد سيارة بورش ماكان.
في أوائل عام 2024 ، تم استبدال الأوراق على سيارة مرسيدس V-Class. في ذلك الوقت ، كان لديه أيضًا مرسيدس جلي 400 د 4MATIC. قبل بضعة أشهر ، تم تغيير العنوان بالنسبة لسيارات الدفع الرباعي G63 من الفئة G-Class.
منذ عام 2022 على الأقل ، كانت Oleg تستثمر في صالات من أفضل المدى تحت علامة تجارية تمتلك فيها حصة من الملكية الفكرية. العلامة التجارية موجودة في جميع أنحاء العالم ، من دبي وأبو ظبي إلى باكو وموسكو وبالي. في نهاية أغسطس 2024 ، أسس مؤسسة خيرية تسمى رودينا – الوطن الأم باللغة الروسية.
Tramp ، Golden Boy of Ransomware
وفقًا لتحليل Lemagit ، لدى Tramp ما لا يقل عن 20 Bitcoins لاسمه ويسيطر على ما لا يقل عن 2000 في يناير 2023 – نصف مفاجأة. في خريف 2021 ، تتبع Lemagit ملايين الدولارات في مدفوعات الفدية تم الحصول عليها من قبل كونتي خلال الأشهر السابقة. في نوفمبر 2023 ، التأمين الإهليلجي وكورفوس مُقدَّر أن Black Basta لم يفعل أسوأ ، حيث جمع أكثر من 100 مليون دولار في مدفوعات الفدية خلال ما يقرب من عامين من النشاط.
في فرنسا ، هاجم بلاك باستا أوراليا في أبريل 2022 ، يليه H-Tube و Villa Florek و Encea و Dupont Restaurant و باكارات. إجمالاً ، فإن أكثر من 520 ضحية من Black Basta معروفين بشكل عام ، مقارنة بأكثر من 350 لـ Conti.
في البورصات المقدمة في نهاية ديسمبر من العام الماضي ، طُلب من Tramp مرتين إجراء مدفوعات في Bitcoins. جاءت واحدة على الأقل من المدفوعات من عنوان معروف بأنه يسيطر عليه Tramp.
لكن Tramp ، الذي يعرفه أيضًا اسم مستعار “P1JA” ، لم يصل إلى عالم الفدية مع ظهوره كونتي ، الأعمال الإلكترونية الإلكترونية التي انهارت في عام 2022بعد فترة وجيزة من غزو روسيا أوكرانيا.
وفقًا لمعلومات Lemagit ، فقد شارك في مثل هذه الأنشطة لفترة أطول بكثير. في مقتطفات من المناقشات الخاصة بين Tramp و SSD ، في نوفمبر 2022 ، هناك إشارة إلى اسم نظام Windows: Win-7pv24jsn83c.
حمراء الساخنة cybeلاحظ هذا هذا اسم الماكينة في أغسطس 2022. لاحظت Lemagit ذلك بالنسبة إلى 28 ضحية يدعي أنها Lockbit – 2.0 و 3.0 – طوال نفس العام. من المفترض أن هذا الاسم لم يكن على نطاق واسع للغاية في ذلك الوقت – في أغسطس 2022 ، احتسب محرك البحث المتخصص حوالي 200 حدث ، بما في ذلك أكثر من 190 على عناوين IP Geolocated في روسيا.
صراع مع Revil
وهذا ليس كل شيء. سواء في تم الكشف عن البورصات في فبراير 2025 أو في تلك المرسلة في نهاية ديسمبر 2024 ، يبدو أن Tramp تستخدم كلمة المرور 123123 بانتظام لحماية الملفات غير حساسة نسبيًا أو متوفرة مؤقتًا فقط. وهذا هو الوحيد الوحيد.
لاحظ Lemagit هذا السلوك في مفاوضتين تحت راية Revil في بداية عام 2021 ، ثم اثنان آخران تحت علامة Conti بعد بضعة أشهر. قبل ذلك ، رمز المصدر Crysis 3 تسرب بواسطة Egregor في عام 2020 كان في أرشيف محمي بنفس كلمة المرور.
Lemagit
في مايو 2021 ، في أحد المنتديات المعروفة جيدًا من قبل مجرمي الإنترنت ، طلبت P1JA التحكيم عن نزاع مع مستخدم آخر: “أنا خماسي وعملت مع برنامج Revil Affiliate”. تم سحب وصوله إلى واجهة التفاوض مع ضحاياه للتو.
في هذا المنتدى نفسه ، كان Tramp نشطًا أيضًا تحت اسم مستعار “Washing0N32”. سجل هناك في أغسطس 2020. في الوقت الذي ادعى أن لديه خبرة “أكثر من 10 سنوات” في اختبار الاختراق.
Lemagit و دير سبيجل سعى بشكل مشترك التعليق من أوليغ نفيدوف ، دون نجاح. لم يكن من الممكن الوصول إلى موقع Black Basta وواجهة التداول لمدة أسبوعين تقريبًا في وقت النشر. وفقا لمصادر مؤيد ، بعض أعضاء المجموعة لديهم انتقل بالفعل إلى أكيرا و Cactus ، من بين آخرين.
