מבוקש: ראש כנופיית הכופרות בלק באסטה

שלושה מחברי כנופיית הכופרות הפרו-רוסית בלק באסטה (Black Basta) – בהם מנהיג הקבוצה – נוספו לרשימת המבוקשים ביותר של האיחוד האירופי ול"הודעה אדומה" של האינטרפול (Interpol).

אולג יבגנייביץ' נפדוב, בן 35 מרוסיה, נחשב לראש הכנופייה. לצידו, רשויות אכיפת החוק באוקראינה ובגרמניה זיהו שני אוקראינים החשודים כחברים בקבוצה, המספקת כופרה-כשירות (RaaS) ופועלת לטובת רוסיה.

"ממצאי החקירה מעלים, כי החשודים התמחו בפריצה טכנית למערכות מוגנות והיו מעורבים בהכנת מתקפות סייבר באמצעות כופרות", מסרה משטרת הסייבר של אוקראינה, "הם פעלו לפיצוח ולפריצות, הם מתמחים בחילוץ סיסמאות ממערכות מידע באמצעות תוכנה מיוחדת. לאחר שהשיגו בגניבה את אישור הכניסה, חברי קבוצת הכופרה פרצו לרשתות ולמערכות של ארגונים ולבסוף פרסו כופרות, ואז סחטו דמי כופר על מנת לשחזר את המידע המוצפן".

הרשויות ערכו חיפושים בבתי החשודים והחרימו מכשירי אחסון דיגיטליים ונכסי מטבעות קריפטוגרפיים.

בלק באסטה נחשפה בפומבי בראשונה בנוף האיומים בסייבר באפריל 2022. אז נתגלה, כי היא תקפה יותר מ-500 חברות ברחבי צפון אמריקה, אירופה ואוסטרליה. מומחים מעריכים, כי רווחיה של קבוצת הכופרה עומדים על מאות מיליוני דולרים במטבעות קריפטו.

בתחילת השנה שעברה, יומני צ'אט פנימיים של הקבוצה דלפו לאינטרנט, וכך נחשפה הפעילות הפנימית של הקבוצה, המבנה שלה והחברים המרכזיים בה, לצד פגיעויות האבטחה השונות שנוצלו כדי לקבל גישה ראשונית לארגוני הקורבנות. הדליפה חשפה גם את זהותו של נפדוב כמנהיג בלק באסטה. הוא השתמש בשמות בדויים שונים, כמו"Tramp", "Trump", "kurva", "Washingt0n", "S.Jimmi", "AA" ו-GG.

לפי חלק מהמסמכים, לנפדוב היו קשרים עם פוליטיקאים רוסים בכירים וכן עם סוכנויות מודיעין, לרבות ה-FSB וה-GRU. לכן, מומחים מאמינים שנפדוב ניצל את הקשרים הללו כדי להגן על פעילותו ולהתחמק מרשויות האכיפה בעולם. לפי ניתוח מאוחר יותר של חוקרי טרליקס, נפדוב גם הצליח להשתחרר, לאחר שנעצר בירוואן שבארמניה, ביוני 2024. למרות שיש להניח כי נפדוב נמצא ברוסיה, מיקומו המדויק אינו ידוע.

בנוסף, ראיות מקשרות את נפדוב לקונטי (Conti), קבוצת כופרה שכבר אינה קיימת. היא צמחה ב-2020 כיורשת של Ryuk. באוגוסט 2022, משרד החוץ האמריקני הודיע על פרס של 10 מיליון דולר עבור מידע הקשור לחמישה מבכירי קונטי, ונפדוב היה אחד מהם.

לפי BKA, משרד המשטרה הפדרלית של גרמניה, "נפדוב שימש כראש הקבוצה. הוא החליט מי, או אילו ארגונים יהוו יעד למתקפות סייבר. הוא גייס חברים, הטיל עליהם משימות, השתתף במשא ומתן על דמי הכופר, ניהל את קבלתם שהושגה באמצעות סחיטה, והשתמש בהם כדי לשלם לחברי הקבוצה".

הדלפות אלו הובילו – לכאורה – לסופה של בלק באסטה. אלא שכנופיות כופרה ידועות בכך שהן נסגרות, ממתגות עצמן מחדש וחוזרות תחת זהות שונה. כך, חוקרי רליה-קווסט (ReliaQuest) ו-טרנד מיקרו (Trend Micro) מעריכים, כי כמה מהסניפים לשעבר של בלק באסטה עברו לעבוד בקבוצת הכופרה קקטוס (Cactus). ההערכה מבוססת על כך, שבפברואר 2025, באתר ההדלפות של קקטוס הייתה עלייה עצומה במספר הארגונים שמופיעים, וזאת בסמיכות זמנים להיעלמות אתר ההדלפות של בלק באסטה.