2020. septembra: Podružnica kompanije Revil kompanije Revil otkriva detalje cyber napada koji je proveo nekoliko meseci ranije protiv francuske kompanije Ellior. Tada je Ransomware već bio značajna prijetnja, ali nigdje blizu razmjera na kojoj se treba preuzeti. Međutim, to je bilo, međutim, da su novinari na francuskoj sestrinskoj web lokaciji francuske sestre u kompjuterskoj sedmici, Lemagit počeli nadzirati razvoj mjesečno.
Neki od glavnih igrača u ovoj prijetnji koji su danas aktivni bili su već bili aktivni u to vrijeme. Sljedeći račun prolijeva novo svjetlo na način na koji će vjerovatno profitirati od svojih dobitaka, kao i nivo zaštite koji mogu zahtijevati – s pravom ili pogrešno – kako bi izbjegli pravdu.
Erevan, juni 2024. godine
U petak 21. juna 2024. godine na američkoj ulici u Erevanu, avantura će uskoro uzeti neočekivani zaokret čovjeka koji se čini da je jedan od njih.
Oleg Nefedov je uhapsila lokalna policija u 11 sati na ulici u armenskom kapitalu koja vodi do američke ambasade i vodi pored rijeke Hrazdan.
U 13.30 sati sljedećeg dana, javni tužilac je zatražio da se on pritvori u pritvoru. U međuvremenu su Armenija dobila i prevela dokumente potrebne za njegovo izručenje. Bio je tema interpolnog crvenog obaveštenja – koja nije objavljena.
Ročište je zakazan za ponedeljak, 24. juna u 10 sati. Dovoljna, teorija. Armensko medijsko mjesto 168.am, koje je izvijestilo o događajima, objašnjava da se odluka o pritvoru u pritvoru mora biti donesena u roku od 72 sata od hapšenja – prije 11. do 11. juna. Ali rok je promašen, iz razloga koji nisu navedeni. U 16:00, Oleg Nefedov je pušten. Ured za general Tužilaštva potvrdio je činjenice u saopštenju za javnost od 20. septembra.
Novosti su prolazile gotovo nezapaženo. 16. decembra 2024. godine, izvor je kontaktirao Lemagit. Bio je pozitivan da je čovjek koji je koristio pseudonim – bivši član kasnog kontivara i jedan od čelnika bande Crne Basta Ransomware – bio je isti Oleg Nefedov koji je uhapšen u Erevanu na kraju prethodnog juna: “I also know Tramp under the name Oleg Y. Nefedov”kaže on, dodajući da je nekada radio s njim.
“He has the best protection in Russia. He has friends in the security services. He even pays the FSB and the GRU”Ovaj izvor objašnjava. Ovo su ruske obaveštajne službe. “Nobody has that kind of money or that level of security anymore,” Izvor je dodao.
To je doista koji tramp, poznati i po pseudonimima AA i GG, rekao je jednom od svojih partnera, DD, 14. novembra 2022. godine: “I have guys from Lubyanka [FSB headquarters in Moscow] and the GRU, I’ve been feeding them for a long time,” Prema zapisniku privatnih razmjena koje se vjerovatno odvijalo na šifriranom uslužnom poslu razmjenu poruka. Ove razmjene pružene su Lemagitu 30. decembra 2024. godine, kao i na kolege u njemačkom časopisu Ogledalo (Pogledajte sliku, ispod).
Lemagit
Ali da li je zapremina zaista oleg? Drugi izvori su to rekli, pod uvjetom anonimnosti. Ima puno dokaza koji bi podržali ove tvrdnje.
Ispitivan trampom
Analiza aktivnosti povezana sa pseudonim GG-om u razmjeni na matricu Crne bašte zabrinjavaju se – pokazuje ukupno odsustvo aktivnosti od 21. juna 2024. do 2. jula uključivo.
Kad se zaprega se vratio na mreži 3. jula, rekao je da ima novi računar i promijenio svoj telegram račun. Objasnio je da je izgubio prethodni računar, “and not just that. It’s a long story”kaže: “it’s been difficult in real life. I don’t know where to start…”
Ali, kao što je istraživač i specijalista ljudskog inteligencije Liontamer istakao, tramp je povjerio u Chuck-u člana bande, koga je poznavao “so many years”Nekoliko sati kasnije: “The cops caught me”. Spominje nagradu za “information on TR [potentially Trickbot, but the pseudonym Tramp has also been openly designated by the American justice system]. 10 million”. Nastavlja da kaže da je vidio njegov dosje, “but they didn’t show me everything”. Morao je biti izručen.
Lemagit
Istog dana, Chuck kaže da želi odmor: “Don’t go anywhere. Stay at home”Tramp mu savjetuje. Chuck kaže da je rezervirao karte Kalinjingrada. Tramp insistira na: “We have to protect everyone now”. Chuck napokon odustaje od plana: “I’m cancelling; I’m going to Karelia”. Tramp objašnjava da je vidio sve pseudonike članova Crne bašte u dosjeu predstavljenom.
Kaže da je imao koristi od vrlo visoke zaštite, “at the level of our number 1”: “I managed to call. I just asked for a pass. They immediately took off for me”.
Visoko postavljeni odnosi
Imate li dodatnih detalja? “I can’t say anything about how I got out and who helped. But I’ve been told that the number 1 knows me and that, without his agreement, they wouldn’t have done anything,” osigurava tramp. Chuck je tada pitao: “Putin, right?” Tramp ne bi rekao više.
A.SAVIN – Osobni rad, CC by -sa 3.0
7. jula, međutim, postao je razgovorniji, što ukazuje da je njegov telefon zaplijenjen. Rekao je da nije određeno “they” imao “total access to Apple. They are connected to the whole planet. They know everything”. Kao rezultat, “Apple is dead. […] We have to clean everything up over there”.
Ali Chuck je zabrinut: Neko mu je rekao da ga traži američke agencije za provođenje zakona. Neko koga svakog mjeseca plaća kako bi ga zaštitio u slučaju da ga FSB traži. Boji se da će ruske usluge hoće “start to extort [them] or force [them] to work for them, in exchange for protection”. Možda ima smisla.
16. septembra 2024. godine, yy nazvao je tramp. Pri tome je otkrio pseudonim pod kojim je bio poznat po svojim aktivnostima sa kasnim kontionom: “Bok tramp, to je bio Bio. Izvini što sam mogao upozoriti.
Lemagit
Prema njegovim riječima, to je bila kriptourcijska razmjena koja ga je izdala: “Nisu mogli pronaći ništa drugo osim mojih posljednje tri transakcije (oko 3 BTC), a zatim su me pustili. Sraštavam se s niskim profilom. To je sramota. […]ali nadam se da ću ih uskoro vratiti.
Bio će tada zatražiti nekoliko plaćanja od nekoliko stotina dolara od trampa. 10. novembra 2024. godine objedinit će 20 bitcoina na Krakenu.
Raskošan životni stil
Oleg će uskoro proslaviti svoj 35. rođendan. Dolazi iz Iochkar-Ola, grada preko 260.000 stanovnika 850km istočno od Moskve i 60km od Volge, kapitala Mari Republike.
ALEXXX1979 – Travail osoblje, CC BY-SA 4.0
Čini se da je odavno imao zanimljiv interes za kriptoturenje. Račun na btc-e.com je povezan s njim. Ova devizna služba pretrpjela je kršenje podataka u 2014. godini.
U 2017. godini radio je u Bitsoft, koji se potom predstavio kao “the largest Russian company in the field of cloud-mining of Ethereum, Litecoin, and Zcash”. Registrirao je nekoliko imena domena, uključujući jedan u julu 2017. godine. Lemagit ih je pratio koristeći povijesne podatke Whois i broj telefona. Adresa? Iochkar-ola.
Iz tih podataka, Lemagit je također pronašao telefonski broj koji je već neko vrijeme, direktno povezan s imenom “Gospodin Tramp” u Truecaller, ali i na drugom mjestu kao Oleg Nefedov, kao i adresa povezana sa svojim Apple ICloud računom.
Oleg deklarira prihod od bitsoft do 2021. godine. Tokom perioda taj prihod teško je impresivan: 60.000 rubalja u 2017. i 2018. ili oko 900 eura godišnje. Malo je bolje u 2019. godini, sa više od 261.000 rubalja, ili oko 3.600 eura u prosječnom tečaju za tu godinu. Nakon toga dobit će prihod od Polisa, kompanije koja će biti ranjena na kraju 2023. godine. Bitsoft će patiti istu sudbinu u avgustu 2024.
Daimler AG
To ga nije zaustavilo da vozi BMW X6 M50d u 2019. godini. Godine 2021. godine uhvaćen je ubrzavajući u Mercedesu AMG S63 4Matic – više od 60km / h preko granice. Takođe je vozio Porsche Macan.
Početkom 2024. godine imao je papire zamijenjene na kombiju MERCEDES V-CLASS. U to vrijeme imao je i Mercedes Gle 400 D 4matic. Nekoliko mjeseci ranije, on je promijenio adresu za svoj G-klasa AMG G63 SUV.
Od najmanje 2022. godine, Oleg ulazi u salone na vrhu dosega pod markom u kojoj posjeduje udio intelektualnog vlasništva. Marka je prisutna širom svijeta, od Dubaija i Abu Dabija do Bakua, Moskve i Balija. Krajem avgusta 2024. osnovao je dobrotvornu organizaciju koja se zove Rodina – matična zemlja na ruskom.
Tramp, zlatni dečko o ransumware-u
Prema Lemagit analizi, tramp ima najmanje 20 bitcoina na svoje ime i kontroliralo je najmanje 2.000 u januaru 2023. – pola iznenađenja. U jesen je 2021. godine, Lemagit je pratio milijune dolara u plaćanju ransomware dobivenih kontinarima u prethodnim mjesecima. U novembru 2023. eliptičan i krivolov osiguranje procijenili su da je Crna Basta učinio ništa gore, prikupljajući više od 100 miliona dolara u otkupnim plaćanjima u gotovo dvije godine aktivnosti.
U Francuskoj je Crna Basta napala Oralia u aprilu 2022., a slijedi H-Tube, Villa Florek, Everya, Dupont Restaurirati i Baccarat. Sve u svemu, više od 520 žrtava crne bašte javno je poznato, u poređenju sa više od 350 za Conti.
U razmjeni koje su na kraju decembra dostavljene na kraju decembra dva puta je zamoljen za plaćanje u bitcoinima. Barem jedna od plaćanja stigla je sa adrese za koju se zapravo kontrolira tramp.
Ali tramp, koji je poznat i po pseudonimu “p1ja”Nisu stigli u svijet ransomware iz pojave Conti, cyber-iznuđivačkog poslovanja koji se raspadao 2022. godine, ubrzo nakon Rusije napao je Ukrajinu.
Prema podacima Lemagita, on je u takvim aktivnostima već duže uključen u takve aktivnosti. U ekstraktima iz privatnih diskusija između trampa i SSD-a, u novembru 2022. godine, postoji referenca na ime sistema Windows sistema: Win-7PV24JSN83C.
Crvena Hot CybeR je napomenuo ovu naziv mašine u avgustu 2022. godine. Lemagit ga je promatrao za 28 žrtava koje tvrde da su zaključane – 2.0 i 3.0 – tokom iste godine. Vjerojatno odgovara ugošnom virtualnom stroju, ovo ime nije bilo baš rašireno – u kolovozu 2022., specijalistički pretraživač Shodan brojio je oko 200 pojava, uključujući više od 190 na IP adresama geolociranim u Rusiji.
Sukob sa Revilom
I to nije sve. Da li se u razmjeni objavljenim u februaru ili u februaru ili u šalju poslane krajem 20. decembra, čini se da tramp redovno koristi lozinku 123123 za zaštitu datoteka koje su relativno neosjetljive ili samo privremeno dostupne. I prilično je jedini.
Lemagit je ovo ponašanje primijetilo u dva pregovora u okviru Bannera Revil početkom 2021., a zatim još dvije pod markom Conti nekoliko mjeseci kasnije. Prije toga, izvorni kod Crysis 3 procurio je npr Regor je 2020. godine bio u arhivi zaštićenoj istom lozinkom.
Lemagit
U maju 2021. godine, na jednom od foruma znate da ih Cyber kriminalci posjeduju, P1ja je zatražila arbitražu za spor sa drugim korisnikom: “I’m a pentester and I worked with the REvil affiliate programme”. Njegov pristup pregovaračkom sučelju sa njegovim žrtvama upravo je povučen.
Na tom istom forumu tramp je takođe bio aktivan pod pseudonim “washingt0n32”. Tamo se prijavio u avgustu 2020. godine. U vrijeme kada je tvrdio da ima “more than 10 years” Iskustvo u testiranju penetracije.
Lemagit i Ogledalo zajednički traženi komentar iz Oleg Nefedov, bez uspjeha. Web stranica Crne bašte i trgovanje sučeljem nisu bili nepristupačni gotovo dvije sedmice u trenutku objave. Prema korektnim izvorima, neki članovi grupe već su prešli na Akiru i Kaktus, između ostalog.