Black Basta, Industrial Spy, Onyx : la menace de cyberextorsion ne faiblit pas

L’écosystème de la cyberextorsion continue de se développer. Black Basta compte parmi les derniers arrivés. Ses opérateurs semblent responsables de la cyberattaque récemment survenue contre Oralia, filiale de Nexity. Ils affirment mettre à disposition, au téléchargement, environ 60 Go de données dérobées au sein de son système d’information. Mais Black Basta a déjà une dizaine de victimes à son actif, dont l’Allemand Detusche Windtechnik et l’American Dental Association.

Certains observateurs suspectent une émanation de Conti, mais le socle technique du site vitrine rappelle plutôt Grief, très discret depuis un peu plus de trois mois, avec une différence toutefois : l’utilisation de WebSockets pour la récupération des données affichées. De son côté, l’examen du code du ransomware n’a pas, pour l’instant, donné de résultats concluants. Le maliciel ne semble engager le chiffrement qu’après s’être enregistré comme service pour Windows… et avoir redémarré la machine compromise en mode sans échec.

Les données du moteur de recherche spécialisé Onyphe ne font pas ressortir de systèmes exposés affectés, au cours des 12 derniers mois, par des vulnérabilités connues pour être exploitées dans le cadre d’attaques avec ransomware. De quoi suggérer que les opérateurs de Black Basta achètent des accès initiaux auprès de courtiers, des accès potentiellement obtenus après compromission de postes de travail par des maliciels voleurs de données ou des chevaux de Troie. L’utilisation de Gh0st RAT pour l’accès initial a ainsi été évoquée.

Industrial Spy a également récemment fait son apparition. Le groupe affirme mettre en vente des données volées – à hauteur de près de 29 Go – au sein du système d’information du groupement hospitalier Cœur Grand Est. Une cyberattaque affecte ce dernier depuis le 19 avril. Industrial Spy indique avoir effectivement attaqué le groupement et téléchargé les données la veille.

Ce groupe semble toutefois pratiquer l’extorsion simple, avec vol de données, mais sans chiffrement. Son site vitrine présente en outre des données ayant déjà été proposées par Marketo. Pour l’une des victimes, les données provenaient d’une cyberattaque avec ransomware remontant à plus d’un an avant la mise en vente sur le site.

À cela s’ajoute Onyx, qui dépose, après chiffrement, une note manifestement inspirée de celles utilisées par les affidés de Conti. Mais le maliciel chargé du chiffrement des données sur les machines compromises est issu du framework Chaos Ransomware Builder v4. Et manque de chance pour les victimes, il présente des imperfections : au-delà d’une certaine taille, les fichiers ne sont pas chiffrés, mais détruits ; l’outil de déchiffrement ne permet pas de récupérer les fichiers soi-disant chiffrés de plus de 2 à 3 Mo. Mais à ce jour, Onyx revendique déjà 6 victimes sur son site vitrine.

Parallèlement, les groupes en place continuent leurs activités. Vice Society vient ainsi tout juste de revendiquer la cyberattaque conduite fin décembre dernier contre Est Ensemble. Le groupe aura attendu 4 mois pour cela. Récemment, il s’est montré considérablement plus rapide pour revendiquer l’attaque menée contre le centre hospitalier de Castelluccio, à Ajaccio.