A new ransomware operation known as Tramp is following the same attack patterns as the infamous Black Basta group, leading security researchers to investigate whether it is either a direct successor or an independent group or individual that has adopted its methods.
Black Basta is a Grup de ransomware sofisticat care a apărut în aprilie 2022, deși dovezile sugerează că ar fi putut fi activă din februarie a acelui an.
funcționând ca ransomware-as-a-sfervice (raas) Enterprise, Black Baste-As-Service (raas)
Grupul a câștigat rapid notorietate pentru atacurile sale extrem de țintite, angajând informații de sensibilitate, dacă Ransoms nu au plătit.
În luna mai 2024, Black Basta a încălcat peste 500 de organizații din întreaga lume, inclusiv sectoarele de infrastructură critică și a extorcat peste 100 de milioane de dolari de la victimele sale.
Tramp folosește escrocherii de phishing pentru a infiltra rețelele corporative, o tactică Blata neagră a fost documentată anterior. Modelul de atac al grupului oglindește, de asemenea, strategia de dublu extorsiune a predecesorului său-Crypting Fișierele victimelor, amenințând în timp ce va publica date furate, cu excepția cazului în care se plătește o răscumpărare.
afiliații negri Basta sunt cunoscuți pentru a folosi vulnerabilitățile de exploatare și a abuza de acreditări valide pentru a obține acces inițial la rețelele victime. Abordarea aproape identică folosită de Tramp sugerează posibilitatea infrastructurii sau personalului partajat.
înregistrările arată conexiunea Tramp la Lockbit 2.0 și 3.0, activitățile sale fiind observate în cel puțin 28 de incidente de ransomware legate de blocare în 2022, care au fost legate de o mașină virtuală .
Rolul său în datele de ransomware și mai departe înapoi, cu O utilizare constantă a parolei extrem de nesigure „123123″ pentru protecția fișierelor , un model observat pe mai multe grupuri de ransomware, inclusiv Revil și Conti.
În 2021, Tramp a fost implicat într-o dispută în cadrul programului de afiliere al lui Revil, în care a pierdut accesul la platforma de negociere a ransomware-ului și a căutat arbitraj pe o cunoscută cybercriminal. claimed to have “more than 10 years”of experience in penetration testing, indicating that his involvement in cybercrime extends beyond ransomware into broader hacking activities.
Leaked Black Basta Chat Logs Hint at Tramp’s Origins
Evidence linking Tramp to Black Basta comes from exposed leaked internal conversations between Black Basta affiliates shared by Prodaft Pe X, o companie de informații de amenințare cibernetică specializată în soluții de securitate cibernetică proactivă.
Jurnalele de chat au relevat litigiile interne privind strategiile de răscumpărare a prețurilor și atacul, cu un membru afirmând: „Trebuie să standardizăm procentul de răscumpărare. Custom pricing is leading to too many inconsistencies.”
The leak also confirmed Black Basta’s move toward more advanced encryption tools and targeted attacks, which researchers believe may have contributed to the development of Tramp.
With Tramp’s operational model aligning so closely with Black Basta’s, analysts are investigating whether former members of the now-diminished group have resurfaced under a new Identitate.
🔍 Ca parte a monitorizării noastre continue, am observat că Blackbasta (Vengeful Mantis) a fost în mare parte inactivă de la începutul anului din cauza conflictelor interne. href=”https://twitter.com/prodaft/status/1892636346885235092?ref_src=twsrc%5etfw”> 20 februarie 2025
Conexiunea de tramp la Revil and the Evolution of Ransomware Operations
Rise of Tramp urmează un model văzut în mod repetat în operațiunile de ransomware, în care un grup dispare doar pentru ca altul să-și ia locul folosind tactici aproape identice. Înainte de Black Basta, o forță dominantă în Ransomware a fost Revil, care a obținut notorietate pentru atacurile sale de scară largă înainte de a fi demontat de forța de ordine internațională în 2021 . Pentru Revil, afiliații săi nu au dispărut. Mulți au trecut la Basta Neagră, care a devenit rapid unul dintre cele mai perturbatoare grupuri de ransomware. Acum, Tramp pare să continue această tendință, conducând analiștii cibersecurității să suspecteze că sunt implicați unii foști operatori Basta Black sau Revil. nume . Această abilitate de adaptare și rebrand este ceea ce face ca ransomware-ul să fie o astfel de amenințare persistentă de securitate cibernetică href=”https://www.lemagit.fr/actualites/366619807/ransomware-de-revil-a-black-basta-que-sait-de-de-tramp”> lemagit , pseudonimul tramp este folosit de Oleg Nefedov, un fost membru al regretatului și unul dintre liderii Black Baste, un fost membru al regretat a fost arestat în Armenia în iunie 2024, dar eliberat din cauza termenului ratat.
Această sursă a mai spus lui Lemagit că Tramp este susținută de serviciile de informații rusești, afirmând că „are cea mai bună protecție în Rusia. Are prieteni în serviciile de securitate. El chiar plătește FSB și GRU “și că„ nimeni nu mai are acest tip de bani sau acel nivel de securitate. Conform raportului, Tramp folosește și pseudonimele P1JA, AA, GG, pe lângă Washingt0N32.
Nefedov se spune că va împlini în curând 35 de ani și provine din Ioshkar-Ola, capitala Republicii Mari din Rusia. Fundalul său include un interes puternic pentru criptomonede, după cum demonstrează asocierea sa cu un cont pe BTC-E.com, un schimb de criptocurrency acum defunct, care a suferit o încălcare a datelor în 2014.
În 2017, a fost implicat cu Bitsoft, o companie rusă de minieră de cloud, concentrată pe Ethereum, Litecoin și Zcash, unde a înregistrat nume de domenii multiple. His early financial records indicate modest earnings from Bitsoft, which later transitioned to revenue from another company, Polis, before both entities were dissolved by 2024.
Despite reporting relatively low income in his early years, Nefedov reportedly maintained a luxurious lifestyle, driving high-end vehicles such as a BMW X6 M50D, a Mercedes AMG S63 4MATIC, a Porsche Macan, Și, mai recent, un SUV Mercedes G-Class AMG G63.
De la cel puțin 2022, se spune că a investit în saloane de înaltă calitate cu o prezență globală, care se întind pe Dubai, Abu Dhabi, Baku, Moscova și Bali. De asemenea, se spune că a fondat o caritate pe nume Rodina, ceea ce înseamnă „patrie” în rusă.
apariția lui Tramp demonstrează modul în care grupurile de ransomware se adaptează continuu, adoptând metode de atac dovedite în timp ce integrează noi tactici.
pe măsură ce firmele de cibersecuritate lucrează pentru a-și urmări activitățile, preocuparea mai mare este modul în care rapid nou, Black Brands și Revil pot înlocui cele mai vechi. Tramp nu este doar un alt grup de ransomware-ci reprezintă evoluția continuă a criminalității informatice organizate.
