Ransomware : toute l’équipe de Black Basta en vacances en janvier ?

Entre le début de l’année et la fin mars, le groupe Black Basta a épinglé près 80 victimes à son tableau de chasse, son site vitrine, dont 19 en janvier. Mais c’était une manière de masquer une longue période d’inactivité.

De fait, les dates de création des dossiers et fichiers divulgués par les cybercriminels donnent des indications sur le moment où ils ont mis la main sur ces données. La comparaison avec des informations publiques sur les incidents correspondants permet de conforter les estimations. 

Par exemple, Black Basta a revendiqué une cyberattaque contre Dupont Restauration le 23 janvier 2024. Un article d’Objectif Gard daté du 29 février permet de préciser la chronologie des faits : l’attaque remonte au 14 décembre 2023. Les dates de création des fichiers et dossiers divulgués par Black Basta suggèrent un vol de données autour du 12 décembre. 

Suivant cette logique, nous pouvons estimer que, le 2 janvier 2024, Black Basta a publié des revendications pour des attaques vraisemblablement survenues autour du 5 décembre précédent. 

Le groupe a alors fait une pause de 20 jours dans la publication de revendication, les reprenant le 22 janvier. Ce jour-là, l’une des revendications publiées portait, en toute vraisemblance, sur une cyberattaque survenue le 17 décembre.

Mais le groupe a attendu encore plus longtemps pour mettre à l’index certaines de ses victimes de la fin 2023 : deux revendications publiées le 23 janvier apparaissent se rapporter à des attaques conduites en octobre dernier. 

Il faudra en fait attendre le 9 février pour que Black Basta commence à revendiquer des méfaits datant effectivement de 2024. Et le premier est du 30 janvier 2024, date qui semble ainsi marquer la fin des congés de fin/début d’année pour le groupe. 

À partir de cette date, les affaires reprennent pour Black Basta, avec 41 attaques vraisemblablement survenues sur février et mars 2024, et 58 revendiquées. Onze de ces revendications ne figurent plus sur le site vitrine du groupe, héritier de Conti, suggérant qu’une rançon est susceptible d’avoir été payée. Pour les autres, les données volées sont toujours en attente de divulgation à l’heure où ces lignes sont publiées.

Autre nouveauté : la franchise Black Basta semble désormais consolider la distribution des données volées à ses victimes sur un serveur, répondant à l’adresse daulpxe3epdysjozaujz4sj7rytanp4suvdnebxkwdfcuzwxlslebvyd[.]onion. Et elle pourrait avoir perdu un affidé au cours des mois passés. 

Ainsi, il n’est plus question d’accéder aux données des victimes qui étaient diffusées via l’onion 6y2qjrzzt4inluxzygdfxccym5qjy2ltyae7vnxtoyeotfg3ljwqtaid[.]onion. Il est introuvable. Cela représente tout de même plus de 25 victimes, dont la dernière a été revendiquée le 6 février. Une vraie surprise alors que la victime précédente liée à la même infrastructure de divulgation de données remontait à début octobre 2023 et, la précédente, à fin juillet.

Un autre serveur de divulgation de données lié à Black Basta a disparu : weqv4fxkacebqrjd3lmnss6lrmoxoyihtcc6kdc6mblbv62p5q6skgid[.]onion. Il n’a en fait été utilisé que pour des victimes revendiquées entre mi-août et début novembre 2023.

Un dernier serveur de divulgation de données volées présente un profil méritant intérêt et surveillance : fmzipzpirdpfelbbvnfhoehqxbqg7s7efmgce6hpr5xdcmeazdmic2id[.]onion. Il est utilisé pour divulguer les données volées à des victimes revendiquées depuis le 22 décembre dernier. Les dates de création de fichiers et dossiers suggèrent toutefois qu’au moins une victime a été en réalité attaquée bien avant : Stemcor autour du 30 octobre 2023. Elle a aussi fait l’objet d’une revendication chez LockBit 3.0. 

Ce n’est d’ailleurs pas la seule victime de Black Basta liée à cette infrastructure et revendiquée sur une seconde vitrine : il faut ajouter The Teaching Company, revendiquée 2 janvier 2024 chez Black Basta, mais avant cela chez Akira le 12 décembre 2023. Et là, les dates de création des fichiers et dossiers volés font remonter l’attaque au 5 décembre dernier. 

Surtout, les données de l’une des toutes dernières victimes revendiquées chez Black Basta et liées à cette infrastructure ne sont tout simplement pas accessibles, faute d’identifiant approprié.