Las autoridades policiales de Ucrania y Alemania han identificado a dos ucranianos sospechosos de trabajar para el agrupación de ransomware como servicio (RaaS) Black Hilván, vinculado a Rusia.
Adicionalmente, el supuesto líder del agrupación, un ciudadano ruso de 35 abriles llamado Oleg Evgenievich Nefedov (Нефедов Олег Евгеньевич), ha sido añadido a las listas de los más buscados de la Unión Europea y de la Notificación Roja de INTERPOL, señalaron las autoridades.
“Según la investigación, los sospechosos se especializaron en piratería técnica de sistemas protegidos y participaron en la preparación de ciberataques utilizando ransomware”, dijo la Policía Cibernética de Ucrania en un comunicado.
La agencia dijo que los individuos acusados funcionaban como “hash crackers”, que se especializan en extraer contraseñas de sistemas de información utilizando software especializado. Una vez que se obtuvo la información de las credenciales, los miembros del agrupación de ransomware irrumpieron en las redes corporativas y finalmente implementaron ransomware y extorsionaron para recuperar la información cifrada.
Las autoridades realizaron registros en las residencias de los acusados ubicadas en Ivano-Frankivsk y Lviv, lo que les permitió incautar dispositivos de almacenamiento digital y activos de criptomonedas.
Black Hilván apareció por primera vez en el panorama de amenazas en abril de 2022 y se dice que apuntó a más de 500 empresas en América del Finalidad, Europa y Australia. Se estima que el agrupación de ransomware ha yeguada cientos de millones de dólares en criptomonedas gracias a pagos ilícitos.
A principios del año pasado, se filtraron en trayecto registros de chat internos de un año de Black Hilván, que ofrecen un vistazo al funcionamiento interno del agrupación, su estructura y miembros secreto, y las diversas vulnerabilidades de seguridad explotadas para obtener paso original a organizaciones de interés.
El expediente filtrado además desenmascaró a Nefedov como el cabecilla de Black Hilván, añadiendo que utiliza varios apodo, como Tramp, Trump, GG y AA. Algunos documentos alegaban que Nefedov tenía vínculos con políticos y agencias de inteligencia rusos de stop rango, incluidos el FSB y el GRU.
Se cree que Nefedov aprovechó estas conexiones para proteger sus operaciones y esquivar la jurisprudencia internacional. Un disección posterior de Trellix reveló que Nefedov pudo reforzar su albedrío a pesar de tener sido arrestado en Ereván, Armenia, en junio de 2024. Sus otros apodo incluyen kurva, Washingt0n y S.Jimmi. Aunque se dice que Nefedov se encuentra en Rusia, se desconoce su paradero exacto.
Adicionalmente, hay pruebas que vinculan a Nefedov con Conti, un agrupación ya desaparecido que surgió en 2020 como sucesor de Ryuk. En agosto de 2022, el Sección de Estado de EE. UU. anunció una premio de 10 millones de dólares por información relacionada con cinco personas asociadas con el agrupación de ransomware Conti. Entre ellos estaban Target, Tramp, Dandis, Professor y Reshaev.
Vale la pena mencionar aquí que Black Hilván surgió como un agrupación autónomo, adjunto con BlackByte y KaraKurt, luego del retiro de la marca Conti en 2022. Otros miembros se unieron a grupos como BlackCat, Hive, AvosLocker y HelloKitty, los cuales ahora ya no están activos.
“Él actuó como líder del agrupación. Como tal, decidió quién o qué organizaciones serían los objetivos de los ataques, reclutó miembros, les asignó tareas, participó en las negociaciones de rescate, gestionó el rescate obtenido mediante molestia y lo utilizó para retribuir a los miembros del agrupación”, dijo la Oficina Federal de Policía Criminal de Alemania (BKA o Bundeskriminalamt).
Las filtraciones han llevado a la manifiesto desaparición de Black Hilván, ya que el agrupación permaneció en silencio posteriormente de febrero y retiró su filtración de datos ese mismo mes. Pero poliedro que se sabe que las bandas de ransomware cierran, cambian de nombre y resurgen con una identidad diferente, no será sorprendente que los miembros del antiguo sindicato criminal pasen a otros grupos de ransomware o formen otros nuevos.
De hecho, según los informes de ReliaQuest y Trend Micro, se sospecha que varios de los antiguos afiliados de Black Hilván podrían tener migrado a la operación de ransomware CACTUS, una evaluación basada en el hecho de que hubo un aumento masivo de organizaciones nombradas en el sitio de filtración de datos de este posterior en febrero de 2025, coincidiendo con la desconexión del sitio de Black Hilván.
