Ransomware Black Basta : combien de temps avant revendication de l’attaque ?

La franchise de ransomware Black Basta a fait forte impression, début juillet, en publiant d’un coup rien moins que 15 revendications de cyberattaques. Mais parmi celles-ci, certaines étaient déjà connues – elles n’avaient simplement pas encore été revendiquées.

C’est le cas par exemple de l’attaque conduite contre le Wiener Zeitung, en Autriche. Celle-ci est survenue fin juin, soit une dizaine de jours avant sa revendication. Elle avait été rapportée dans la presse.

L’attaque conduite contre AGCO a commencé à être connue le 5 mai, avant d’être revendiquée le 25 mai suivant. Toutes les données volées au passage ont été divulguées sur le site vitrine de Black Basta. Elles présentent une date de création au… 5 mai 2022, la même que celle du déclenchement du rançongiciel. Le cas est loin d’être isolé.

Les données volées lors des cyberattaques, avant le déclenchement du chiffrement des systèmes compromis, donnent des indications précises sur la date à laquelle elles ont été exfiltrées du système d’information de la victime. De quoi commencer à reconstituer la chronologie des faits, y compris lorsque la cyberattaque n’avait pas été déclarée ni médiatisée.

Pour Oralia, l’attaque a commencé à s’ébruiter autour du 20 avril et n’a été revendiquée qu’une semaine plus tard. Mais elle remonterait en fait à la mi-avril. Nous nous sommes penchés sur un échantillon de près d’une trentaine de victimes revendiquées par Black Basta.

Les données – supprimées après simple constatation de leur date de création – suggèrent que les cybercriminels laissent plus ou moins systématiquement une dizaine de jours, au moins, à leurs victimes, avant de revendiquer leur attaque et menacer de divulguer les données. Un délai que les équipes en charge de la gestion de la crise peuvent mettre à profit.

Pour les organisations souhaitant éviter que les données dérobées ne soient rendues disponibles au téléchargement, tout n’est pas alors pas perdu : certaines revendications ont été retirées après leur publication initiale. D’autres n’ont jamais été, à ce jour, suivies d’une entière publication des données volées : plus d’un mois après son début, la publication n’est pas terminée.

Enfin, certaines attaques n’ont jamais fait l’objet d’une revendication, à l’instar de celle contre Sixt, fin avril, que nos confrères de The Spiegel, ont attribuée à Black Basta.

Selon les cyberdélinquants, la revendication de l’attaque, puis la divulgation de données volées peuvent aller très vite… ou attendre quelques mois – comme cela a notamment pu être observé avec Pysa. Voire plus, pour certaines données proposées à la vente, sur des places de marché spécialisées.