Wrzesień 2020: Partner firmy Ransomware Revil ujawnia szczegóły cyberataku, który przeprowadził kilka miesięcy wcześniej przeciwko Francuska firma Elior. W tym czasie oprogramowanie ransomware było już poważnym zagrożeniem, ale nigdzie w pobliżu skali miała zamiar podjąć. W tej chwili jednak dziennikarze na francuskiej siostrze Computer Weekly, Lemagitzaczął monitorować inwestycje co miesiąc.
Niektórzy z głównych graczy w tym zagrożeniu, którzy są dzisiaj aktywni, byli już w tym czasie aktywni. Poniższe konto rzuca nowe światło na to, jak mogą czerpać korzyści z ich zysków, a także poziomu ochrony, jaką mogą ubiegać się – słusznie lub niewłaściwie – w celu uniknięcia sprawiedliwości.
Erevan, czerwca 2024 r
W piątek 21 czerwca 2024 r., Na American Street w Erevan, przygoda ma wkrótce nieoczekiwany zwrot dla mężczyzny, który wydaje się być jednym z nich.
Oleg Nefedov został aresztowany przez lokalną policję o 11 rano na ulicy w stolicy Ormian, która prowadzi do ambasady USA i biegnie wzdłuż rzeki Hrazdan.
Następnego dnia o 13:30 prokurator poprosił o areszt. W międzyczasie Armenia uzyskała i przetłumaczyła dokumenty wymagane do jego ekstradycji. Był przedmiotem czerwonego zawiadomienia Interpol – która nie została upubliczniona.
Rozprawa zaplanowana jest na poniedziałek 24 czerwca o 10 rano. Wystarczy teoretycznie. Armenian Media Site 168.am, który zgłosił zdarzeniawyjaśnia, że decyzja o aresztowaniu musi zostać podjęta w ciągu 72 godzin od aresztowania – przed 11 rano 24 czerwca. Ale termin został pominięty z powodów, które nie zostały określone. O 16:00 Olegu Nefedov został zwolniony. Biuro prokuratora generalnego potwierdziło fakty w komunikat prasowy Z dnia 20 września.
Wiadomości przeszły prawie niezauważone. 16 grudnia 2024 r. Źródło skontaktowało się z Lemagit. Był pozytywny, że człowiek, który używał pseudonimu TRAMP – byłego członka późnego Conti i jednego z przywódców gangu Ransomware Black Basta – był tym samym Oleg Nefedovem, który został aresztowany w Egrze pod koniec poprzedniego czerwca: „Znam też Tramp pod nazwą Oleg Y. Nefedova”, mówi, dodając, że to robił.
„Ma najlepszą ochronę w Rosji. Ma przyjaciół w służbach bezpieczeństwa. Nawet płaci FSB i GRU”, wyjaśnia to źródło. Są to rosyjskie usługi wywiadowcze. „Nikt nie ma już tego rodzaju pieniędzy ani poziomu bezpieczeństwa” – dodało źródło.
Właśnie to TRAMP, znany również przez pseudonimów AA i GG, powiedział jednemu ze swoich partnerów, DD, 14 listopada 2022 r.: „Mam facetów z Lubianki [FSB headquarters in Moscow] I GRU, karmiłem je od dłuższego czasu „zgodnie z dziennikiem prywatnych giełd, które prawdopodobnie miały miejsce na zaszyfrowanej toksyce serwisowej. Te wymiany zostały dostarczone Lemagit 30 grudnia 2024 r., A także kolegom z niemieckich magazyn Der Spiegel (Zobacz obraz poniżej).
Lemagit
Ale czy Tramp naprawdę jest Oleg? Inne źródła tak powiedziały, pod warunkiem anonimowości. Istnieje wiele dowodów na poparcie tych twierdzeń.
Tramp przesłuchał
Analiza działania związanego z pseudonimem GG W wymianie instancji Matrix Black Basta jest niepokojąca – pokazuje całkowity brak działalności od 21 czerwca 2024 do 2 lipca włącznie.
Kiedy Tramp wrócił online 3 lipca, powiedział, że ma nowy komputer i zmienił swoje konto telegramowe. Wyjaśnił, że stracił swój poprzedni komputer: „I to nie tylko. To długa historia”, mówi: „To było trudne w prawdziwym życiu. Nie wiem, od czego zacząć …”
Ale jako badacz i specjalista ds. Inteligencji ludzkiej Liontamer Zwrócił uwagę, że Tramp zwierzył się członkowi gangu Chucka, którego znał „Tyle lat”, kilka godzin później: „Gliniarze mnie złapali”. Wspomina o nagrodę za „Informacje na temat TR [potentially Trickbot, but the pseudonym Tramp has also been openly designated by the American justice system]. 10 milionów ”. Następnie mówi, że widział swój akta,„ ale nie pokazali mi wszystkiego ”. Musiał być ekstradowany.
Lemagit
Tego samego dnia Chuck mówi, że chce wakacji: „Nie idź nigdzie. Zostań w domu”, radzi mu TRAMP. Chuck mówi, że zarezerwował bilety do Kaliningrad. TRAMP nalega: „Musimy teraz chronić wszystkich”. Chuck w końcu rezygnuje z planów: „Anuluję; jadę do Karelii”. Tramp wyjaśnia, że widział wszystkie pseudonima członków Czarnej Basty w pliku przedstawionym mu.
Mówi, że skorzystał z ochrony bardzo wysokiego szczebla: „Na poziomie naszego numeru 1”: „Udało mi się zadzwonić. Właśnie poprosiłem o przepustkę. Natychmiast wystartowali po mnie”.
Wysoce umieszczone relacje
Jakieś dalsze szczegóły? „Nie mogę nic powiedzieć o tym, jak wyszedłem i kto pomógł. Ale powiedziano mi, że numer 1 mnie zna i że bez jego porozumienia nie zrobiliby nic”, zapewnia Tamp. Chuck zapytał następnie: „Putin, prawda?” Tramp nie powiedziałby już więcej.
A.Savin – Personel Travail, CC BY -SA 3.0
Jednak 7 lipca stał się bardziej rozmowny, co wskazuje, że jego telefon został zajęty. Powiedział, że nieokreślony „oni” mieli „całkowity dostęp do Apple. Są połączeni z całą planetą. Wiedzą wszystko”. W rezultacie „Apple nie żyje. […] Musimy tam wszystko wyczyścić ”.
Ale Chuck martwi się: ktoś powiedział mu, że jest poszukiwany przez amerykańskich organów ścigania. Ktoś, kogo płaci co miesiąc, aby go chronić na wypadek, gdyby FSB przyszedł go szukać. Obawia się, że rosyjskie usługi „zaczną wymusić [them] lub siła [them] pracować dla nich, w zamian za ochronę ”. Może mieć rację.
16 września 2024 r. YY nazwał Tramp. Czyniąc to, ujawnił pseudonim, w którym był znany ze swoich działań z późnym Conti: „Cześć Tramp, to bio. Zostałem wydany, przepraszam, że nie mogłem cię ostrzec. Maskowani Poszukiwacze prawie złamali każdą kość w moim ciele, kiedy się pojawili, ale na szczęście miałem czas odejść od serwera.
Lemagit
Według niego, była to wymiana kryptowalut, która go zdradziła: „Nie mogli znaleźć nic innego niż moje ostatnie trzy transakcje (około 3 BTC). Krótko mówiąc, utrzymywali mnie w areszcie przedprocesowym, a potem uwolnili mnie. Na razie czuję, że jestem obserwowany, więc zachowuję niski profil. To wstyd, że wstydem skonfiskowali samochód. […]ale mam nadzieję, że wkrótce je odzyskam.
Bio poprosi następnie o kilka płatności kilkaset dolarów od TRAMP. 10 listopada 2024 r. Skonsoliduje 20 bitcoinów w Kraken.
Bogaty styl życia
Oleganie wkrótce będzie świętować swoje 35. urodziny. Pochodzi z Iochkar-Oola, miasta ponad 260 000 mieszkańców 850 km na wschód od Moskwy i 60 km od Wołgi, stolicy Republiki Mari.
Alexxx1979 – Personel Travail, CC BY -SA 4.0
Wygląda na to, że od dawna interesuje się kryptowalutami. Konto na BTC-E.com zostało z nim powiązane. Ta usługa walutowa doznała naruszenia danych w 2014 r.
W 2017 r. Pracował w Bitsoft, który następnie przedstawił się jako „największa rosyjska firma w dziedzinie wydobywania w chmurze Ethereum, Litecoin i Zcash”. Zarejestrował kilka nazw domen, w tym jedną w lipcu 2017 r.. Lemagit śledził je za pomocą historycznych danych WHOIS i numeru telefonu. Adres? Iochkar-Oola.
Na podstawie tych danych Lemagit znalazł również numer telefonu, który przez pewien czas był bezpośrednio powiązany z nazwą „Mr Tramp” w TrueCaller, ale także wymieniony w innym miejscu jako Oleg Nefedov, a także adres powiązany z jego kontem Apple iCloud.
Oleg deklaruje dochód od Bitsoft do 2021 r. W tym okresie dochód ten nie jest imponujący: 60 000 rubli w 2017 i 2018 r. Lub około 900 € rocznie. W 2019 r. Jest trochę lepiej, z ponad 261 000 rubli lub około 3600 € przy średnim kursie walutowym na ten rok. Następnie otrzyma dochód od Polis, firmy, która zostanie skończona pod koniec 2023 r. Bitsoft doznnie tego samego losu w sierpniu 2024 r.
Daimler Ag
To nie powstrzymało go przed prowadzeniem BMW X6 M50D w 2019 r. W 2021 r. Został przyłapany na przekroczeniu mercedesa AMG S63 4Matic – ponad 60 km/h powyżej limitu. Jeździł także Porsche Macan.
Na początku 2024 r. Papiery zastąpił swoją furgonetkę klasy V Mercedesa. W tym czasie miał także Mercedesa Gle 400 D 4matic. Kilka miesięcy wcześniej zmienił adres dla swojego SUV-a AMG G63 klasy G.
Od co najmniej 2022 r. Oleg inwestuje w czołowe salony pod marką, w której jest posiada część własności intelektualnej. Marka jest obecna na całym świecie, od Dubaju i Abu Zabi po Baku, Moskwa i Bali. Pod koniec sierpnia 2024 r. Założył organizację charytatywną o imieniu Rodina – ojczyzna po rosyjsku.
TRAMP, Złoty Boy of Ransomware
Według analizy Lemagita Tramp ma co najmniej 20 bitcoinów na jego nazwisko i kontrolował co najmniej 2000 w styczniu 2023 r. – pół niespodzianki. Jesienią 2021 r. Lemagit śledził miliony dolarów w płatnościach ransomware uzyskane przez Conti w poprzednich miesiącach. W listopadzie 2023 r. Ubezpieczenie eliptyczne i Corvus szacowany To, że Czarna Basta nie zrobiła go gorsza, zbierając ponad 100 mln USD w płatnościach okupu w ciągu prawie dwóch lat działalności.
We Francji, Czarna Basta zaatakowała Oralia W kwietniu 2022 r., A następnie H-Tube, Villa Florek, Envea, DuPont Restauration i Baccarat. Podsumowując, ponad 520 ofiar Czarnej Basta jest znanych publicznie w porównaniu z ponad 350 dla Conti.
W giełdach podanych pod koniec grudnia ubiegłego roku Tramp został dwukrotnie poproszony o dokonanie płatności w Bitcoinach. Przynajmniej jedna z płatności pochodziła z adresu znanego jako kontrolowanego przez TRAMP.
Ale TRAMP, znany również z pseudonimu „P1JA”, nie dotarł do świata oprogramowania ransomware z wyglądem Conti, działalność cyberprzestępczości, która rozpadła się w 2022 rokuwkrótce po tym, jak Rosja zaatakowała Ukrainę.
Zgodnie z informacjami Lemagita był on zaangażowany w takie działania znacznie dłużej. W ekstraktach z prywatnych dyskusji między Tramp i SSD w listopadzie 2022 r. Istnieje odniesienie do nazwy systemu Windows: Win-7Pv24JSN83C.
Red Hot CybeR zauważył to Nazwa maszyny w sierpniu 2022 r. Lemagit zaobserwował ją dla 28 ofiar, które twierdzą, że jest Lockbit – 2.0 i 3,0 – w tym samym roku. Przypuszczalnie odpowiadająca hostowanej maszynie wirtualnej, nazwa ta nie była wówczas bardzo rozpowszechniona – w sierpniu 2022 r. Specjalistyczna wyszukiwarka Shodan naliczała około 200 wystąpień, w tym ponad 190 na adresach IP geolokowane w Rosji.
Konflikt z Revil
I to nie wszystko. Czy w Wymiana ujawniona w lutym 2025 r. lub w tych wysłanych na koniec grudnia 2024 r. TRAMP wydaje się regularnie używać hasła 123123 w celu ochrony plików, które są stosunkowo niewrażliwe lub tylko tymczasowo dostępne. I to prawie jedyny.
Lemagit zaobserwował to zachowanie w dwóch negocjacjach na podstawie banera Revil na początku 2021 r., A następnie dwóch kolejnych pod marką Conti kilka miesięcy później. Wcześniej kod źródłowy Crysis 3 wyciek Przez Egregor w 2020 r. Był w archiwum chronionym tym samym hasłem.
Lemagit
W maju 2021 r. Na jednym z forów znanych jako Cyberprzestępców P1JA poprosiła o arbitraż na spór z innym użytkownikiem: „Jestem Pentester i pracowałem z programem partnerskim Revil”. Jego dostęp do interfejsu negocjacji z ofiarami został właśnie wycofany.
Na tym samym forum Tramp był również aktywny pod pseudonimem „WashingT0N32”. Zarejestrował się tam w sierpniu 2020 r. W czasie, gdy twierdził, że ma „ponad 10 lat” doświadczenia w testach penetracyjnych.
Lemagit i Der Spiegel Wspólnie szukał komentarza Oleg Nefedova bez powodzenia. Witryna Black Basta i interfejs handlowy były niedostępne przez prawie dwa tygodnie w momencie publikacji. Według źródeł potwierdzających, niektórzy członkowie grupy mają już przeniósł się do Akira i kaktus, między innymi.