As autoridades da Ucrânia e da Alemanha deram um passo importante na longa investigação contra o grupo de ransomware conhecido como Black Basta: identificaram quem consideram o seu cabeço e impulsionaram sua incorporação em listas internacionais de busca. É um golpe simbólico e operacional que reflecte tanto a maturidade da cooperação policial internacional como as dificuldades que suscita levar à justiça a bandas que operam no âmbito cibercriminal.
Segundo a informação divulgada pela polícia cibernética ucraniana, a pesquisa apontou um cidadão russo de 35 anos, identificado pelas autoridades como Oleg Evgenievich Nefedov, a quem é atribuída a liderança da operação. A mesma fonte descreve o trabalho conjunto com colegas alemães e a realização de registros em locais específicos das regiões de Ivano-Frankivsk e Lviv, onde foram apreendidos dispositivos de armazenamento digital e ativos em criptomoedas. A nota oficial da polícia ucraniana pode ser consultada para mais detalhes sobre a atuação e os testes recolhidos aqui.
Além disso, a identificação resultou na inclusão do suposto líder em listas internacionais de busca e captura: a sua ficha está agora entre os objetivos publicados pela Europol e em uma notificação da Interpol. Estas ferramentas fazem parte do arsenal que facilitam a cooperação entre corpos policiais de diferentes países e ajudam a coordenar processos de detenção ou bloqueio de ativos quando há jurisdições envolvidas. Os links oficiais para consultar essas notificações estão disponíveis nas páginas Europol e Interpol.
Black Basta é um exemplo claro de como o modelo "ransomware-as-a-service" (RaaS) tem profissionalizado e multiplicado o impacto dessas bandas. Desde a sua aparição em 2022, a operação tem sido relacionada com centenas de ataques a grandes organizações em várias partes do mundo: empresas do setor automóvel e defesa, fornecedores de serviços, instituições sanitárias e entidades públicas figuraram entre as vítimas. Este esquema permite que desenvolvedores, operadores e afiliados especializados cooperem de forma modular, o que complica a pesquisa e amplia o rádio de danos.
Na indagação ucraniana enfatiza-se a presença de indivíduos especializados em obter o acesso inicial a redes corporativas: atores que, mediante ferramentas e técnicas de "hash cracking" e outras metodologias, extraem credenciais, elevam privilégios e preparam o terreno para a fase de criptografia e extorsão. Essa fase preparatória é crítica na cadeia criminosa porque permite ao atacante instalar portas traseiras e mover-se lateralmente antes de detonar o ataque visível sobre os sistemas da vítima.
Um elemento que ajudou a lançar luz sobre a estrutura interna do grupo foi a filtragem massiva de mensagens entre membros do próprio Black Basta, filtragem que permitiu a analistas externos rastrear alias, conversas sobre papéis e recompensas, e possíveis vínculos com grupos anteriores. Pesquisadores em segurança que revisaram esse material têm apontado conexões entre identidades online utilizadas pela banda e atores que previamente operaram na rede de Conti, o grande sindicato do ransomware que se desmembrou há alguns anos. Uma análise detalhada sobre essas conversas e seu significado técnico pode ser lido no relatório de Trellix publicado pela assinatura.
O histórico de Conti serve de contexto: após sua dissolução, membros e líderes dispersos reapareceram em projetos novos ou tomaram o controle de operações já existentes, gerando um ecossistema no qual sobrenomes visíveis em uma operação podem ressurgir sob outras marcas. Essa dinâmica dificulta não só a atribuição, mas também a estratégia de mitigação internacional, porque os operadores costumam adicionar camadas de ofuscação e mover-se aproveitando jurisdições com pouca cooperação.
A resposta policial incluiu medidas em matéria de terreno —registros, apreensão de dispositivos e congelamento de certos recursos — mas a perseguição dessas redes não termina com uma exigência internacional: levar a julgamento os supostos responsáveis exige carta imploratória, extradições, análise forense profunda e vontade de multiplicidade de Estados para sustentar processos longos. Além disso, a natureza transnacional do cibercrime obriga a combinar inteligência técnica com diplomacia judicial.
Para as empresas e as administrações que podem ser alvo, este caso sublinha a necessidade de reforçar medidas básicas, mas eficazes: controlos de acesso robustos, monitorização de contas privilegiadas, segmentação de redes e planos de resposta que contemplem não só a recuperação técnica, mas a gestão legal e comunicacional. A experiência demonstra que a prevenção e a detecção precoce reduzem dramaticamente o impacto operacional e económico dos incidentes.
Finalmente, o anúncio público da identificação do suposto líder serve também como sinal para a comunidade de segurança: revela que as pesquisas podem dar frutos graças ao intercâmbio de informações entre jurisdições e à colaboração com empresas de cibersegurança que analisam vazamentos e vazamentos. No entanto, o sucesso parcial não elimina o desafio permanente que supõe atores que, mediante criptomoedas, infraestruturas descentralizadas e uma ferrovia cultura do anonimato, continuam se adaptando às respostas policiais.
Aqueles que querem aprofundar as fontes primárias e a análise técnica podem consultar a nota da polícia cibernética ucraniana já mencionada aqui e o estudo de Trellix sobre os chats filtrados aqui, bem como as fichas de busca publicadas por Europol e Interpol.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...