{
	"id": "96d324f1-a99e-4ec5-b0f6-85ff4006a0d1",
	"created_at": "2026-04-06T00:09:34.843402Z",
	"updated_at": "2026-04-10T03:27:57.397278Z",
	"deleted_at": null,
	"sha1_hash": "e5823575ee92d6811cdb515b6e45bac02600636d",
	"title": "Ransomware : de REvil à Black Basta, que sait-on de Tramp ?",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 466908,
	"plain_text": "Ransomware : de REvil à Black Basta, que sait-on de Tramp ?\r\nBy Valéry Rieß-Marchive\r\nPublished: 2025-03-01 · Archived: 2026-04-05 16:01:52 UTC\r\nSeptembre 2020. Un affidé de l’enseigne de rançongiciel REvil nous fait des révélations sur une cyberattaque\r\nqu’il a conduite quelques mois plus tôt contre le Français Elior. À ce moment-là, le ransomware est une menace\r\ndéjà prégnante, mais loin de l’ampleur qu’elle s’apprête à prendre. C’est l’époque à laquelle nous commençons\r\ntoutefois à en suivre mensuellement l’évolution. \r\nCertains acteurs majeurs de cette menace actifs aujourd’hui l’étaient déjà à cette date. Le récit qui suit apporte un\r\néclairage inédit sur la manière dont ils sont susceptibles de profiter de leurs gains, ainsi que du niveau de\r\nprotection dont ils peuvent se faire valoir – à juste titre ou pas – pour échapper à la Justice.\r\nErevan, juin 2024\r\nLe vendredi 21 juin 2024, sur l’American Street, à Erevan, l’aventure est sur le point de prendre un tournant\r\ninattendu pour celui qui apparaît être l’un d’entre eux. \r\nOleg Nefedov est arrêté par la police locale, à 11h du matin, sur cette rue de la capitale arménienne qui mène à\r\nl’ambassade des États-Unis, longeant la rivière Hrazdan.\r\nLe lendemain, à 13h30, le procureur demande son placement en détention provisoire. Entre-temps, l’Arménie a\r\nobtenu et fait traduire les documents nécessaires à son extradition. Il ferait l’objet d’une notice rouge d’Interpol –\r\n non publique.\r\nL’audience est prévue pour le lundi 24 juin 2024 à 10h du matin. Suffisant, en théorie. Le média arménien 168.am,\r\nqui a rapporté les faits, explique que la décision de placement en détention provisoire doit intervenir dans les 72h\r\naprès l’interpellation, soit avant 11h du matin, le 24 juin. Mais le délai est dépassé, pour des raisons non précisées.\r\nÀ 16h, Oleg Nefedov est remis en liberté. Le bureau du procureur général confirme les faits dans un\r\ncommuniqué du 20 septembre.\r\nLa nouvelle est passée inaperçue, ou presque. Le 16 décembre 2024, une source contacte LeMagIT. Elle est\r\naffirmative : celui qui utilise notamment le pseudonyme de tramp – un ancien de feu Conti et comptant parmi les\r\nleaders du gang de rançongiciels Black Basta – serait cet Oleg Nefedov qui a été arrêté à Erevan, à la fin du mois\r\nde juin précédent : « je connais aussi Tramp sous le nom d’Oleg Y. Nefedov », assure-t-il, ajoutant qu’il travaillait\r\navec lui.\r\n« Il a la meilleure protection [qui soit] en Russie. Il a des amis dans les services de sécurité. Il paie même le FSB\r\net le GRU », nous dit cette source. Il s’agit des services du renseignement russe. « Personne n’a plus désormais ce\r\ngenre d’argent ou ce niveau de sûreté », ajoute cette source.\r\nhttps://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp\r\nPage 1 of 7\n\nC’est effectivement ce qu’affirme Tramp, aussi connu sous les pseudonymes de AA et GG, notamment, à l’un de\r\nses partenaires, dd, le 14 novembre 2022 : « j’ai des gars de Loubianka [siège du FSB à Moscou, N.D.L.R.] et du\r\nGRU, je les alimente depuis longtemps », peut-on lire dans un journal d’échanges privés vraisemblablement\r\nsurvenus sur la messagerie chiffrée Tox. Ces échanges nous ont été fournis le 30 décembre 2024, ainsi qu’à nos\r\nconfrères du Spiegel (voir encadré).\r\nLeMagIT\r\nTramp se vante de contacts avec le FSB et le GRU.\r\nMais Tramp est-il véritablement Oleg ? D’autres sources nous l’ont affirmé, sous couvert d’anonymat, ainsi qu’à\r\nnos confrères. De nombreux éléments confortent ces assertions.\r\nTramp interpelé\r\nL’analyse de l’activité associée au pseudonyme GG dans les échanges survenus sur l’instance Matrix de Black\r\nBasta est troublante : elle fait ressortir une absence totale d’activité du 21 juin 2024 au 2 juillet inclus.\r\nQuand Tramp revient en ligne le 3 juillet, il dit avoir un nouvel ordinateur et changer de compte Telegram. Il\r\nexplique avoir perdu son précédent ordinateur, « et pas uniquement. C’est une longue histoire », dit-il : « ça a été\r\ndifficile dans la vraie vie. Je ne sais pas où commencer… ».\r\nMais, comme nous l’a pointé le chercheur et spécialiste du renseignement humain liontamer, Tramp se confie à un\r\nmembre du gang, chuck, qu’il semble connaître depuis « tant d’années », quelques heures plus tard : « les flics\r\nm’ont pris ». Il fait état d’une récompense pour des « informations sur TR [potentiellement Trickbot, mais le\r\npseudonyme Tramp a aussi été ouvertement désigné par la justice américaine, N.D.L.R.] : 10 millions ». Plus loin,\r\nil indique avoir vu son dossier, « mais ils ne m’ont pas tout montré ». Il devait être extradé.\r\nLeMagIT\r\nhttps://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp\r\nPage 2 of 7\n\nTramp dit avoir fait appel à des soutiens haut placés pour échapper à l'extradition vers les États-Unis.\r\nLe même jour, chuck, dit vouloir prendre des vacances : « ne va nulle part. Reste à la maison », lui conseille\r\nTramp. Chuck dit avoir pris des billets pour Kaliningrad. Tramp insiste : « nous devons protéger tout le monde\r\nmaintenant ». Chuck finira par renoncer à ses projets : « j’annule ; j’irai en Carélie ». Tramp explique avoir vu\r\ntous les pseudonymes des membres de Black Basta dans le dossier qui lui a été présenté.\r\nIl dit avoir profité de protections très haut placées, « au niveau de notre numéro 1 » : « j’ai réussi à appeler. J’ai\r\njuste demandé un laissez-passer. Ils ont immédiatement décollé pour moi ».\r\nDes relations très haut placées\r\nDes précisions ? « Je ne peux rien dire sur la façon dont on m’a sorti et qui a aidé. Mais on m’a dit que le\r\nnuméro 1 me connaît et que, sans son accord, ils n’auraient rien fait », assure Tramp. Chuck demandera dans la\r\nfoulée : « Poutine, c’est ça ? ». Tramp n’en dira pas plus.\r\nA.Savin - travail personnel, CC BY-SA 3.0\r\nLe bâtiment dit Loubianka, siège du FSB à Moscou.\r\nLe 7 juillet, il devient toutefois plus bavard, indiquant que son téléphone a été saisi. Pour lui, un « ils » non précisé\r\ndispose d’un « accès total à Apple. Ils sont branchés sur toute la planète. Ils savent tout ». Du coup, « foutu pour\r\nfoutu, Apple, c’est mort. […] Il faut tout nettoyer là-bas ». \r\nMais chuck est inquiet : quelqu’un lui a dit qu’il est recherché par les forces de l’ordre américaines. Une personne\r\nqu’il paie chaque mois pour le protéger au cas où le FSB viendrait le chercher. Il craint que les services russes ne\r\n« commencent à [les] extorquer ou [les] forcent à travailler pour eux, en échange de protection ». Il n’a peut-être\r\npas tort.\r\nCar le 16 septembre 2024, YY interpelle Tramp. Il révèle au passage un pseudonyme sous lequel il est connu pour\r\nses activités avec feu Conti : « salut Tramp, c’est bio. On m’a relâché, désolé de ne pas avoir pu prévenir. Le raid\r\ndes masqués a failli me briser tous les os quand ils ont débarqué, heureusement, j’ai eu le temps de me\r\ndéconnecter du serveur ».\r\nhttps://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp\r\nPage 3 of 7\n\nLeMagIT\r\nBio, un ex-Conti, évoque ses démêlés avec les forces de l'ordre avec Tramp.\r\nSelon lui, c’est un exchange de cryptomonnaies qui l’a trahi : « ils n’ont rien trouvé d’autre que mes trois\r\ndernières transactions (environ 3 btc). Bref, ils m’ont fait mariner en détention provisoire, puis m’ont relâché.\r\nPour l’instant, je sens qu’on me surveille donc je me fais discret. C’est la merde qu’ils aient confisqué la bagnole\r\net saisi la maison […], mais j’espère les récupérer bientôt ».\r\nBio demandera ensuite plusieurs paiements de quelques centaines de dollars à Tramp. Le 10 novembre 2024, il\r\nconsolidera 20 bitcoins chez Kraken.\r\nUn train de vie somptueux\r\nOleg fêtera prochainement ses 35 ans. Il est originaire de Iochkar-Ola, une ville de plus de 260 000 habitants\r\nsituée à 850 km à l’est de Moscou et à 60 km de la Volga, capitale de la république des Maris.\r\nAlexxx1979 - travail personnel, CC BY-SA 4.0\r\nIoshcar-Ola, capitale de la république des Maris.\r\nIl semble avoir depuis longtemps un intérêt prononcé pour les cryptomonnaies. Un compte sur btc-e.com lui a été\r\nassocié. Ce service de change a été victime d’une brèche de données en 2014. \r\nhttps://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp\r\nPage 4 of 7\n\nEn 2017, il travaille chez Bitsoft, qui se présentait alors comme « la plus grande entreprise russe dans le domaine\r\ndu cloud-mining d’Ethereum, de Litecoin, et de Zcash ». Il en enregistre plusieurs noms de domaine, dont un en\r\njuillet 2017. Nous les avons retrouvés à partir de données Whois historiques et d’un numéro de téléphone.\r\nL’adresse ? À Iochkar-Ola. \r\nÀ partir de ces données, nous avons également trouvé un numéro de téléphone qui fut, un temps, directement lié\r\nau nom de « Mr Tramp » dans TrueCaller, mais aussi référencé ailleurs sous celui d’Oleg Nefedov, ainsi que\r\nl’adresse associée à son compte Apple iCloud.\r\nOleg déclare des revenus de Bitsoft jusqu’en 2021. Sur la période, ces revenus ne sont guère impressionnants :\r\n60 000 roubles en 2017 et 2018, soit environ… 900 euros par an. C’est un peu mieux en 2019, avec plus de\r\n261 000 roubles, soit de l’ordre de 3 600 euros au taux de change moyen cette année-là. Après cela, il recevra des\r\nrevenus de Polis, une entreprise liquidée fin 2023. Bitsoft connaîtra le même sort en août 2024. \r\nDAIMLER AG\r\nMercedes-Benz G 63 AMG, un SUV à plus de 80 000 €.\r\nCela ne l’empêche pas de rouler en BMW X6 M50D en 2019. En 2021, il est pris en excès de vitesse au volant\r\nd’une Mercedes AMG S63 4MATIC – à plus de 60 km/h au-dessus de la limite. Il a également roulé en Porsche\r\nMacan. \r\nDébut 2024, il fait remplacer les papiers de son van Mercedes classe V. À cette date, il dispose également d’une\r\nMercedes GLE 400 D 4MATIC. Quelques mois plus tôt, il faisait changer l’adresse pour son SUV classe G\r\nAMG G63.\r\nhttps://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp\r\nPage 5 of 7\n\nDepuis au moins 2022, Oleg investit notamment dans des bars lounges haut de gamme, sous une marque dont il\r\ndétient une part de propriété intellectuelle. L’enseigne est présente dans le monde entier, jusqu’à Dubaï et Abu\r\nDhabi en passant par Baku, Moscou, voire encore Bali. Fin août 2024, il fonde une organisation caritative du nom\r\nde Rodina – mère-patrie, en Russe.\r\nTramp, golden boy du ransomware\r\nSelon nos analyses, Tramp dispose d’au moins 20 bitcoins de côté et en contrôlait au moins 2 000 en janvier 2023.\r\nUne demi-surprise. À l’automne 2021, LeMagIT avait suivi les millions de dollars de paiements de rançons\r\nobtenus par Conti au cours des mois précédents. En novembre 2023, Elliptic et Corvus Insurance estimaient que\r\nBlack Basta n’avait pas fait moins bien, encaissant plus de 100 millions de dollars de rançons en près de deux ans\r\nd’activité.\r\nEn France, Black Basta s’est notamment attaqué à Oralia en avril 2022, puis H-Tube, l’étude Villa Florek, Envea,\r\nDupont Restauration, et Baccarat. Au total, plus de 520 victimes de Black Basta sont publiquement connues,\r\ncontre plus de 350 pour Conti. \r\nDans les échanges qui nous ont été fournis fin décembre dernier, des paiements en bitcoins sont demandés à\r\nTramp par deux fois. Au moins l’un des paiements est bien provenu d’une adresse connue pour être contrôlée par\r\nlui.\r\nMais Tramp, qui est aussi connu sous le pseudonyme « p1ja », n’est pas arrivé dans le monde du ransomware avec\r\nl’apparition de Conti, cette PME de la cyberextorsion qui a volé en éclats en 2022, peu après l’invasion de\r\nl’Ukraine par la Russie.\r\nSelon nos informations, il est en effet impliqué dans de telles activités depuis bien plus longtemps. Dans les\r\nextraits de discussions privées entre Tramp et ssd, on trouve, en novembre 2022, la référence à un nom de système\r\nWindows : WIN-7PV24JSN83C.  \r\nNos confrères de Red Hot Cyber avaient relevé ce nom de machine en août 2022. Nous l’avons-nous-mêmes\r\nobservé pour 28 victimes revendiquées sous l’enseigne LockBit – 2.0 et 3.0 – tout au long de cette même année.\r\nCorrespondant vraisemblablement à une machine virtuelle hébergée, ce nom n’étant pas très répandu à l’époque :\r\nen août 2022, le moteur de recherche spécialisé Shodan en avait compté environ 200 occurrences, dont plus de\r\n190 sur des adresses IP géolocalisées en Russie.\r\nUn conflit avec REvil\r\nCe n’est pas tout. Que ce soit dans les échanges divulgués en ce mois de février 2025 ou dans ceux qui nous ont\r\nété transmis fin décembre 2024, Tramp apparaît utiliser très régulièrement le mot de passe 123123 pour protéger\r\ndes fichiers relativement peu sensibles ou très temporairement disponibles. Et c’est, à très peu de choses près, le\r\nseul.\r\nNous avons observé ce comportement dans deux négociations sous la bannière de REvil début 2021, puis deux\r\nautres sous la marque de Conti quelques mois plus tard. Avant cela, le code source de Crysis 3 divulgué par\r\nEgregor en 2020 l’avait été dans une archive protégée par le même mot de passe.\r\nhttps://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp\r\nPage 6 of 7\n\nLeMagIT\r\nQuand Tramp travaillait avec REvil.\r\nEn mai 2021, p1ja demandera, sur l’un des forums bien connus pour être notamment fréquentés par les\r\ncybercriminels, un arbitrage pour conflit avec un autre utilisateur : « je suis pentester et j’ai travaillé avec le\r\nprogramme d’affiliation de REvil ». Ses accès à l’interface de négociation avec ses victimes venaient de lui avoir\r\nété retirés.\r\nSur ce même forum, Tramp a également été actif sous le pseudonyme « washingt0n32 ». Il s’y était inscrit ainsi en\r\naoût 2020. Il revendiquait alors « plus de 10 ans » d’expérience dans le test d’intrusion. \r\nNos confrères du Spiegel et nous-mêmes avons conjointement sollicité les commentaires d’Oleg Nefedov, sans\r\nsuccès. Le site vitrine et l’interface de négociation de Black Basta sont inaccessibles au moment où sont publiées\r\nces lignes, depuis près de deux semaines. De sources concordantes, certains membres du groupe sont déjà passés\r\nchez Akira ainsi que chez Cactus, notamment.\r\nSource: https://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp\r\nhttps://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp"
	],
	"report_names": [
		"Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp"
	],
	"threat_actors": [
		{
			"id": "8c8fea8c-c957-4618-99ee-1e188f073a0e",
			"created_at": "2024-02-02T02:00:04.086766Z",
			"updated_at": "2026-04-10T02:00:03.563647Z",
			"deleted_at": null,
			"main_name": "Storm-1567",
			"aliases": [
				"Akira",
				"PUNK SPIDER",
				"GOLD SAHARA"
			],
			"source_name": "MISPGALAXY:Storm-1567",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "910b38e9-07fe-4b47-9cf4-e190a07b1b84",
			"created_at": "2024-04-24T02:00:49.516358Z",
			"updated_at": "2026-04-10T02:00:05.309426Z",
			"deleted_at": null,
			"main_name": "Akira",
			"aliases": [
				"Akira",
				"GOLD SAHARA",
				"PUNK SPIDER",
				"Howling Scorpius"
			],
			"source_name": "MITRE:Akira",
			"tools": [
				"Mimikatz",
				"PsExec",
				"AdFind",
				"Akira _v2",
				"Akira",
				"Megazord",
				"LaZagne",
				"Rclone"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434174,
	"ts_updated_at": 1775791677,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e5823575ee92d6811cdb515b6e45bac02600636d.pdf",
		"text": "https://archive.orkl.eu/e5823575ee92d6811cdb515b6e45bac02600636d.txt",
		"img": "https://archive.orkl.eu/e5823575ee92d6811cdb515b6e45bac02600636d.jpg"
	}
}