Domniemany lider Black Basta na liście EU Most Wanted i „Red Notice” INTERPOL — co wiemy i jak się bronić

Wprowadzenie do problemu / definicja luki

Choć nagłówki mówią o „liderze gangu”, w praktyce chodzi o coś znacznie bardziej przyziemnego (i groźniejszego dla firm): dobrze zorganizowany model ransomware-as-a-service (RaaS), w którym różne osoby pełnią wyspecjalizowane role — od pozyskiwania dostępu, przez eskalację uprawnień, po negocjacje okupu.

W połowie stycznia 2026 r. ukraińskie i niemieckie organy ścigania poinformowały o identyfikacji osób powiązanych z Black Basta, a domniemany lider — Oleg Evgenievich Nefedov — został wskazany jako poszukiwany i trafił na Europe’s Most Wanted.

W skrócie

• Niemieckie i ukraińskie służby zidentyfikowały osoby wspierające operacje Black Basta; w komunikatach pojawia się rola „hash crackers”, czyli specjalistów od odzyskiwania haseł/poświadczeń.
• Niemieckie komunikaty o poszukiwaniach opisują Nefedova jako osobę podejrzewaną o utworzenie i kierowanie grupą stojącą za malware/ransomware Black Basta oraz o zarządzanie doborem celów i „biznesową” stroną wymuszeń.
• Dla obrońców to istotny sygnał: rozbijanie struktur nie kończy problemu, bo ekosystem RaaS potrafi się przegrupować i rebrandować.

Kontekst / historia / powiązania

Black Basta pojawiła się w krajobrazie zagrożeń w 2022 r. i była opisywana jako jeden z podmiotów, które wyrosły w okresie „po Conti” (migracje ludzi, narzędzi i know-how między grupami).

Istotnym punktem zwrotnym dla widoczności operacji była publikacja wycieków czatów (ponad 200 tys. wiadomości) z infrastruktury komunikacyjnej grupy, co pozwoliło analitykom lepiej zrozumieć role, procesy i powiązania. Trellix opisuje m.in. kontekst wycieku, strukturę rozmów i to, jak takie materiały wspierają atrybucję oraz mapowanie TTP.

Analiza techniczna / szczegóły luki

W doniesieniach o działaniach organów ścigania przewijają się trzy technicznie ważne wątki, które dobrze oddają typowy łańcuch ataku RaaS:

1) „Initial access” i praca na poświadczeniach

Według opisu śledczych, dwie osoby powiązane z operacją miały specjalizować się w technicznym przełamywaniu zabezpieczeń i przygotowywaniu ataków ransomware, w tym jako tzw. hash crackers — czyli osoby, które pozyskują hasła z wycieków/hashy przy użyciu narzędzi do łamania/odzyskiwania haseł.

Z perspektywy obrony to sugeruje nacisk na:

• przejęcia poświadczeń (zrzuty NTDS/LSASS, kradzież tokenów, reuse haseł),
• odzyskiwanie haseł z hashy (np. słabe polityki haseł, brak MFA, legacy protokoły).

2) Eskalacja uprawnień i ruch lateralny

BleepingComputer opisuje, iż po uzyskaniu poświadczeń atakujący mieli wchodzić do sieci wewnętrznych i podnosić uprawnienia skompromitowanych kont, co jest klasycznym etapem przed masowym szyfrowaniem.

3) Monetyzacja: szyfrowanie + wymuszenie (często podwójne)

W opisie niemieckich komunikatów o poszukiwaniach przewija się „model biznesowy”: wybór celów, negocjacje, zarządzanie okupem i wypłaty dla członków — czyli typowa operacja RaaS, w której ransomware to końcowy „produkt”, a prawdziwą przewagą jest proces i skala.

Co ciekawe, Trellix wskazuje również, iż wycieki ujawniają operacyjne detale: narzędzia, współprace, a choćby wykorzystanie ChatGPT do elementów wspierających działalność (np. redakcja treści, prace nad kodem) — co pokazuje, jak „przemysłowe” potrafią być takie grupy.

Praktyczne konsekwencje / ryzyko

1. Nie zakładaj „końca zagrożenia” po akcji policji. Rozpoznanie lidera lub rozbicie części zespołu często prowadzi do migracji afiliantów do innych programów RaaS albo do rebrandu.
2. Jeśli w Twojej organizacji istnieje ryzyko kradzieży hashy/poświadczeń, to masz realny wektor wejścia choćby bez „egzotycznych” 0-day. Wzmiankowana rola „hash crackers” sugeruje, iż poświadczenia (i ich jakość) są wciąż jednym z krytycznych punktów obrony.
3. Skala: niemieckie komunikaty wskazują na podejrzenia dotyczące wielu ofiar (setki globalnie), co oznacza, iż choćby jeżeli sam Black Basta osłabła, kompetencje i narzędzia nie znikają.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „teraz” — ukierunkowany na łańcuch ataku oparty o poświadczenia, eskalację i masowe szyfrowanie:

1. MFA wszędzie, gdzie się da (szczególnie VPN/SSO/poczta/RDP przez gateway). Priorytet dla kont uprzywilejowanych i zdalnego dostępu.
2. Higiena haseł i odporność na cracking
   • wymuś długie hasła/passphrase, blokuj reuse,
   • sprawdzaj hasła względem list wycieków,
   • ogranicz/wyłącz stare mechanizmy uwierzytelniania tam, gdzie to możliwe.
3. Ochrona Active Directory
   • tiering administracji (konto admina nie loguje się do stacji użytkownika),
   • monitoruj nietypowe odczyty NTDS.dit, próby DCSync, podejrzane użycie narzędzi administracyjnych,
   • wprowadź LAPS/ELM (zarządzanie lokalnymi hasłami adminów).
4. Detekcja i ograniczanie ruchu lateralnego
   • segmentacja sieci (szczególnie serwery plików, backup, hypervisory),
   • blokady dla zdalnego wykonywania (PSExec/WMI) tam, gdzie zbędne,
   • EDR z regułami na credential dumping i remote exec.
5. Backup odporny na ransomware
   • kopie offline/immutable,
   • osobne tożsamości i sieci dla systemów backup,
   • regularne testy odtworzeń (RTO/RPO w praktyce, nie na papierze).
6. Gotowość na wymuszenie
   • plan reakcji na incydent + scenariusz „data theft”,
   • przygotowane decyzje: komunikacja, prawo, ubezpieczyciel, negocjacje (jeśli w ogóle).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Black Basta dobrze pokazuje powtarzalny schemat znany z „pokolenia” grup ransomware po 2022 r.: rozpad/ucieczka marki, ale ciągłość ludzi i kompetencji. Wyciek wewnętrznych rozmów (analogicznie do innych głośnych leaków) działa jak mnożnik wiedzy dla obrońców, ale też może przyspieszać przegrupowanie atakujących w nowe programy RaaS.

Podsumowanie / najważniejsze wnioski

• Wskazanie domniemanego lidera i działania transgraniczne są ważne, ale dla organizacji najważniejsze jest to, jak takie grupy realnie działają: poświadczenia → eskalacja → ruch lateralny → szyfrowanie i wymuszenie.
• Najbardziej „opłacalna” obrona to redukcja ryzyka przejęcia kont i utrudnienie działań w AD oraz utrzymanie backupów odpornych na sabotaż.
• Wyciek czatów i analiza (np. Trellix) pokazują, iż te zespoły są zorganizowane jak firma, a presja organów ścigania często skutkuje adaptacją, nie zniknięciem zagrożenia.

Źródła / bibliografia

1. The Hacker News — „Black Basta Ransomware Leader Added to EU Most Wanted and INTERPOL Red Notice” (17.01.2026). (The Hacker News)
2. BleepingComputer — „Black Basta boss makes it onto Interpol’s 'Red Notice’ list” (16.01.2026). (BleepingComputer)
3. Landesportal Schleswig-Holstein (policja / komunikat dot. poszukiwań) — „Öffentlichkeitsfahndung nach Oleg Evgenievich NEFEDOV” (akt. 15.01.2026). (schleswig-holstein.de)
4. Polizei Baden-Württemberg (komunikat/fahndung) — „BKA – Erpressung, Bildung einer kriminellen Vereinigung” (okres: 01.2022–02.2025). (Fahndung)
5. Trellix — „Analysis of Black Basta Ransomware Chat Leaks” (18.03.2025). (trellix.com)