Una nueva operación de ransomware conocida como Tramp está siguiendo los mismos patrones de ataque que el infame Grupo Black Basta, liderando a los investigadores de seguridad a investigar si se trata de un sucesor directo o un grupo o individuo independiente que ha adoptado sus métodos.
“href=”https:////Blog/Blog/undernandanding-BLACK-BASTA-RANSOMWARE/”> Black Basta
operando como un ransomware-as-a-a-service (raas) ransomware-a-a-service (raas) (raas). Se cree que está compuesto por antiguos miembros de grupos de ransomware notorios como conti y
El grupo ha ganado rápidamente la notoriedad por sus ataques altamente específicos, empleando tácticas de doble extorsión cuando incrustan los datos de las víctimas pagado.
A mayo de 2024, Black Basta había violado más de 500 organizaciones en todo el mundo, incluidos los sectores críticos de infraestructura, y ha extorsionado más de $ 100 millones de sus víctimas.
Tramp emplea estafas pálidas para infiltrarse en redes corporativas, un basta negra táctica se documentó previamente utilizando. El modelo de ataque del grupo también refleja la estrategia de doble extinción de su predecesor: cifrar los archivos de las víctimas al tiempo que amenaza con publicar datos robados a menos que se pague un rescate.
Se sabe que los afiliados de Basta Black Basta aprovechan las vulnerabilidades de explotación y abusan de las credenciales válidas para obtener acceso inicial a las redes de víctimas. El enfoque casi idéntico utilizado por Tramp sugiere la posibilidad de infraestructura o personal compartido.
Los registros muestran la conexión de Tramp con Lockbit 2.0 y 3.0, y sus actividades se observan en al menos 28 incidentes de ransomware relacionados con Lockbit en 2022,
Su papel en el ransomware data aún más atrás, con Un uso consistente de la contraseña altamente insegura”123123″para la protección de archivos , un patrón observado en múltiples grupos de ransomware, incluidos Revil y Conti.
en 2021, Tramp estuvo involucrado en una disputa dentro del programa de Revil, donde perdió acceso a la plataforma de negociación de ransomware y se buscó la arbitratación en un foro cibercriminal bien conocido. tener”más de 10 años”de experiencia en pruebas de penetración, lo que indica que su participación en el delito cibernético se extiende más allá del ransomware a actividades de piratería más amplias.
filtró los registros de chat de Basta Basta insinúa en los origen de Trampa
evidencia que vincula a los trampas a Black Basta de las conversaciones internas filtradas entre Black Basta Basta Basta Basta Basto de Black Basta. href=”https://www.prodaft.com”> Prodaft en X, una compañía de inteligencia de amenazas cibernéticas que se especializa en soluciones proactivas de seguridad cibernética.
Los registros de chat revelaron disputas internas sobre el precio del rescate y las estrategias de ataque, con un miembro que indica: “Necesitamos estandarizar el porcentaje de rescate. El precio personalizado está conduciendo a demasiadas inconsistencias”.
La fuga también confirmó el movimiento de Black Basta hacia herramientas de cifrado más avanzadas y ataques específicos, que los investigadores creen que pueden haber contribuido al desarrollo de Tramp.
Con el modelo operativo del modelo operativo de nuevo con el modelo operativo de los trampa de nuevo. Identidad.
🔍 Como parte de nuestro monitoreo continuo, hemos observado que Blackbasta (Mantis vengativo) ha sido en su mayoría inactivo desde el comienzo del año debido a los conflictos internos href=”https://twitter.com/prodaft/status/1892636346885235092?ref_src=twsrc%5etfw”> 20 de febrero, 2025
La conexión de Tramp a la revisión y la evolución de Ransomware
El aumento de Tramp sigue un patrón visto repetidamente en las operaciones de ransomware, donde un grupo desaparece solo para que otro tome su lugar utilizando tácticas casi idénticas. Antes de Black Basta, una fuerza dominante en el ransomware fue Revil, que ganó notoriedad por sus ataques a gran escala antes de ser desmantelado por la ley internacional en 2021 . Vinculado a Revil, sus afiliados no desaparecieron. Muchos hicieron la transición a Black Basta, que rápidamente se convirtió en uno de los grupos de ransomware más disruptivos. Ahora, Tramp parece continuar esta tendencia, lo que lleva a los analistas de ciberseguridad a sospechar que algunos antiguos operadores de Black Basta o Revil están involucrados.
Grupos de ransomware lemagit , el pseudónimo de pGSEMA de pseudónimo es utilizada por fue arrestado en Armenia en junio de 2024, pero liberado debido a una fecha límite perdida.
Esta fuente también le dijo a Lemagit que Tramp cuenta con el apoyo de los servicios de inteligencia rusos, afirmando:”Tiene la mejor protección en Rusia. Tiene amigos en los servicios de seguridad. Incluso paga el FSB y el Gru”, y que”nadie tiene ese tipo de dinero o ese nivel de seguridad”.
sus investigaciones corroboran muchas pruebas que apuntan a que Oleg Nefedov sea tremp. Según el informe, Tramp también usa los seudónimos P1JA, AA, GG, además de Washingt0N32. Se dice que
Nefedov pronto cumple 35 años y se origina en Ioshkar-Ola, la capital de la República Mari en Rusia. Sus antecedentes incluyen un gran interés en las criptomonedas, como lo demuestra su asociación con una cuenta en BTC-E.com, un intercambio de criptomonedas ahora desaparecido que sufrió una violación de datos en 2014.
En 2017, estuvo involucrado con Bitsoft, una compañía minera de la nube rusa centrada en Ethereum, Litecoin y ZCash, donde se registró múltiples nombres. Sus primeros registros financieros indican ganancias modestas de Bitsoft, que luego pasó a los ingresos de otra compañía, Polis, antes de que ambas entidades se disolvieran para 2024.
A pesar de informar ingresos relativamente bajos en sus primeros años, según los informes, Nefedov mantuvo un estilo de vida de Luxurious Lifesty, un Macán, como un BMW X6 X6 M50D, A Mercedes AMG S63 4MATIC, A PORSCHED High Y, más recientemente, un SUV AMG G63 de Clase G63 de Mercedes.
Desde al menos 2022, se dice que había invertido en salones de alta gama con presencia global, que abarca Dubai, Abu Dhabi, Baku, Moscú y Bali. También se dice que fundó una organización benéfica llamada Rodina, que significa”patria”en ruso.
La emergencia de Tramp demuestra cómo los grupos de ransomware se adaptan continuamente, adoptando métodos de ataque probados, mientras que la integración de nuevas tácticas. Tramp no es solo otro grupo de ransomware: representa la evolución continua del delito cibernético organizado.
