Líder de Black Basta incluido en la lista Most Wanted de la UE y en una Red Notice de INTERPOL

enero 18, 2026

Líder de Black Basta incluido en la lista Most Wanted de la UE y en una Red Notice de INTERPOL

Resumen de la noticia

Autoridades ucranianas y alemanas han identificado a dos ciudadanos ucranianos sospechosos de colaborar con el grupo de ransomware-as-a-service (RaaS) Black Basta, vinculado a Rusia. Además, el presunto líder del grupo, el ciudadano ruso de 35 años Oleg Evgenievich Nefedov (Нефедов Олег Евгеньевич), ha sido añadido a la lista Most Wanted de la Unión Europea y a una Red Notice de INTERPOL. Estas acciones forman parte de una respuesta internacional que busca coordinar la localización y detención de individuos implicados en actividades de ciberextorsión transnacional.

Antecedentes y contexto: por qué importa

Black Basta es un grupo RaaS que ha estado activo en campañas de cifrado de datos y extorsión contra organizaciones en múltiples países. El modelo RaaS facilita que operadores criminales con distintos perfiles y especializaciones colaboren: los desarrolladores suministran la herramienta de cifrado y la infraestructura, mientras que los afiliados realizan la intrusión inicial, el movimiento lateral y la extorsión.

Este tipo de señalamientos públicos y las notificaciones internacionales importan por varias razones:

  • Impulsan la cooperación policial transfronteriza y abren la puerta a solicitudes de extradición y decomiso de activos.
  • Generan presión operacional sobre las redes y proveedores que sostienen la actividad criminal (servicios de hosting, dominios, canales de pago).
  • Sirven como alerta para posibles víctimas y para equipos de seguridad, que pueden ajustar defensas ante tácticas, técnicas y procedimientos (TTP) conocidos del grupo.

En el plano comparativo, Black Basta se enmarca junto a otros grupos notorios como LockBit, Conti o REvil, que también operaron mediante modelos RaaS y fueron objetivo de acciones internacionales, investigaciones y sanciones en los últimos años.

Análisis técnico y comentario para profesionales

Para equipos de ciberseguridad y respuesta a incidentes, conocer la inclusión de un presunto líder en listas internacionales permite priorizar la búsqueda de indicadores de compromiso asociados a Black Basta y revisar procedimientos de respuesta. A nivel táctico, Black Basta ha mostrado en reportes públicos comportamientos característicos de los RaaS modernos:

  • Uso de phishing y acceso remoto mal asegurado para la intrusión inicial.
  • Movimiento lateral mediante herramientas legítimas (living-off-the-land) y abuso de credenciales.
  • Implementación de cifrado masivo junto con doble extorsión: robar datos antes de cifrarlos y amenazar con publicar información sensible.

Recomendaciones técnicas para detección y contención:

  • Priorizar el monitoreo de autenticaciones anómalas, creación de cuentas y uso inusual de herramientas administrativas.
  • Desplegar sistemas EDR/EDR-X con reglas para detectar amenazas living-off-the-land y procesos de cifrado masivo.
  • Asegurar y revisar los backups: verificar integridad, periodicidad y que existan copias fuera de línea o inmutables.

Además, la inteligencia de amenazas (TI) contextualizada —indicadores de compromiso (IoC), tácticas del adversario y campañas recientes— debe integrarse en las plataformas de seguridad para bloquear infraestructura conocida y priorizar alertas.

Riesgos, implicaciones y tendencias

La inclusión del presunto líder de Black Basta en listas de búsqueda internacional tiene varios efectos y riesgos a considerar:

  • Operacionales: la presión legal puede fragmentar o dispersar afiliados, provocar reagrupamientos en otras plataformas criminales o impulsar la adopción de técnicas más sigilosas (uso de cifrado de comunicaciones, mayor sofisticación en la cadena de acceso).
  • Geopolíticos: la mención de un vínculo “Russia-linked” y la cooperación entre Ucrania y Alemania subrayan la dimensión internacional del problema y la posibilidad de tensiones diplomáticas si hay reclamos de jurisdicción o protección estatal.
  • Para víctimas potenciales: un aumento temporal de la actividad puede surgir cuando grupos rivales intentan aprovechar el vacío, o cuando operadores buscan exfiltrar datos rápidamente ante el riesgo de detenciones.

En términos de cifras, el ransomware ha sido una de las formas de ciberdelito más lucrativas y visibles en los últimos años; aunque las metodologías y el volumen varían, la tendencia general mostrada por informes públicos es que la extorsión por datos y la demanda de rescates se mantuvieron altas desde 2020 en adelante, con picos reportados en 2021-2022. Las acciones coordinadas de fuerzas del orden han degradado la capacidad operativa de algunos grupos conocidos, pero también han motivado la aparición de nuevos actores y variantes.

Recomendaciones accionables para organizaciones

Frente a la persistencia del riesgo ransomware y la reciente escalada de acciones legales contra individuos ligados a Black Basta, las organizaciones deben implementar medidas concretas y operativas:

  • Copias de seguridad robustas: mantener backups frecuentes, cifrados y con versiones inmutables o almacenamiento air-gapped; probar restauraciones periódicas.
  • Control de accesos y privilegios: aplicar el principio de menor privilegio, segmentación de redes y revisión continua de cuentas con privilegios elevados.
  • Autenticación fuerte: desplegar MFA para accesos críticos, especialmente para acceso remoto, VPNs y administración de activo.
  • Visibilidad y detección: instrumentar registros (logs) centralizados, EDR con reconocimiento de patrones de cifrado y alertas en tiempo real; integrar TI de amenazas pública y compartida.
  • Plan de respuesta y ejercicios: mantener playbooks actualizados para incidentes ransomware, coordinar con jurídico, comunicaciones y partners de recuperación; realizar ejercicios de mesa y simulacros.
  • Gestión de proveedores y terceros: exigir controles de seguridad a proveedores, revisar acuerdos sobre responsabilidades y capacidades de recuperación ante incidentes.

Además, las organizaciones deben evitar pagar rescates como primera opción; más allá de las consideraciones éticas y legales, pagar no garantiza la recuperación de datos ni evita filtraciones posteriores. La respuesta debe priorizar restauración segura y coordinación con las autoridades competentes.

Conclusión

La inclusión de Oleg Evgenievich Nefedov en la lista Most Wanted de la UE y en una Red Notice de INTERPOL, junto con la identificación de dos presuntos colaboradores ucranianos, subraya la continuidad y gravedad de la amenaza ransomware transnacional. Para las fuerzas del orden supone una herramienta adicional de presión y coordinación; para las organizaciones, un recordatorio de que deben reforzar controles preventivos, visibilidad operativa y planes de recuperación. La acción internacional puede degradar capacidades criminales pero también exige que el sector privado mantenga la vigilancia y mejore resiliencia ante posibles cambios en las tácticas de los adversarios.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

Grupo vinculado a China (UNC3886) comprometió a las cuatro mayores telcos de Singapur
Noticias Ciberseguridad
Tirith: nueva herramienta open-source que bloquea ataques por homógrafos en la línea de comandos
Noticias Ciberseguridad
Operación «Shadow Campaigns»: actor estatal apunta a infraestructuras gubernamentales en 155 países
Noticias Ciberseguridad
Marco AitM «DKnife» vinculado a China apunta a routers para secuestrar tráfico y desplegar malware
Noticias Ciberseguridad