stokkete - stock.adobe.com

Actualites

Ransomware : sur la piste trouble de l’un des leaders de Black Basta

Les échanges internes au groupe Black Basta divulgués la semaine dernière offrent une nouvelle opportunité d’enquêter sur l’un de ses leaders : tramp. Il pourrait avoir été arrêté en Arménie en juin 2024, avant d’être relâché.

Valéry Rieß-Marchive
par
Publié le: 24 févr. 2025

Le 20 février, tout ce que la planète compte de chercheurs en renseignement sur les menaces cyber découvrait une nouvelle mine d’or : un document de près de 50 Mo présenté comme l’historique d’échanges internes à l’enseigne de ransomware Black Basta.

Le croisement entre les victimes de cyberattaque mentionnées dans ce fichier et celles connues, ainsi (pour certaines) que leurs récits, ont permis de confirmer l’authenticité du document. Mais il y a plus.

Selon les auteurs de la divulgation – qui ne demandait qu’à être découverte depuis le 11 février –, derrière le pseudonyme GG se cache Tramp, l’un des leaders du groupe, connu sous ce pseudonyme depuis l’implosion de Conti, début 2022, après l’invasion de l’Ukraine par la Russie. Certains échanges, repris sur l’instance Matrix dont provient la fuite, renvoient à des conversations du Tox qui montrent que Tramp y utilise aussi le pseudonyme AA.

Les flux financiers le confirment. Le 10 avril 2023, Tramp procède à un paiement à ugway à l’adresse 1FomikeVrYqivPbQoGYTRNou1mzSPPbbWZ (transaction 11824680b6f06876eb33560354b877801579be9a2ac1d4264e085254cdf76a4d). L’adresse d’où viennent les bitcoins en question a été alimentée par des fonds dont une partie a servi à alimenter une adresse connue pour être liée à Tramp : 16oosqZ7b9vSdiZ8QbWPCoxRkQwQ3T43Bi. Elle a été utilisée du 29 septembre 2022 au 29 mai 2024, totalisant 347 transactions pour un montant reçu de près de 704 bitcoins sur la période.

Le même lien vaut pour un paiement effectué par Tramp au bénéfice de tinker, à l’adresse 1FPutCyL6s6uqQVW4eTCoaVQjrFX3bFhde (transaction f11e1af8ea6352b62a50c6611fc0944cbf0fa1d4bf5bbfc22a3f02017f475f25) le 12 février 2024. 

Liaisons dangereuses

Parmi les acteurs impliqués dans les activités de Black Basta, un mérite une attention toute particulière : celui qui utilise le pseudonyme ssd. Tramp demande, le 10 novembre 2023, que lui soit créé un compte sur l’instance Matrix du groupe. Ssd se connecte dans la foulée. Il s’investit très vite fortement : on compte 1 640 messages émanant de lui durant le mois de décembre 2023. 

S’il s’exprime essentiellement en russe, ses messages sont parfois interprétés par les traducteurs automatiques comme étant en bulgare ou en slovaque - mais c'est vraisemblablement lié au recours à la romanisation.

Sur Tox, ssd utilise également le pseudonyme DD. C’est avec lui qu’il contacte usernameyy autour du 7 décembre 2023. Usernamejj semble le connaître et le présente comme un « сетевик ». En fait, ses activités semblent plutôt liées au maquillage de code malveillant pour éviter la détection. 

Périodes d'activité des différents membres connectés à l'instance Matrix de Black Basta.

Mais ssd ne restera pas longtemps dans le groupe : son dernier message date du 17 février 2024. Après, silence radio. Du moins sur l’instance Matrix du groupe.

Car ssd et Tramp se connaissaient déjà, potentiellement de longue date, selon des journaux qui ont été fournis à la rédaction par une source anonyme le 30 décembre dernier. Ceux-ci font ressortir des échanges privés réguliers, sur Tox. Les plus anciens à notre disposition remontent à la fin octobre 2022, les plus récents à la fin février 2023. 

Tramp y évoque une certaine proximité avec Royal (devenu BlackSuit), et affirme avoir contribué au développement du rançongiciel pour ESXi, du moins l’automatisation de son déploiement. Il dit aussi connaître – et ce n’est pas nécessairement une surprise – 90 % des Conti.

Tramp évoque ses relations avec Conti et Royal.

Le 12 novembre 2022, Tramp indique « alimenter » régulièrement les services du renseignement russe, mentionnant explicitement le FSB et le GRU, faisant état d’un travail « de bureau » à horaires fixes.

Une tentative de retour ?

Dans leurs échanges privés, Tramp et ssd parlent notamment d’une victime revendiquée sous la marque de Black Basta début novembre 2022 : Mitcon Consultancy & Engineering Services. Un mois plus tard, elle sera également revendiquée sur le site vitrine de BianLian. Ce n’est pas la seule victime revendiquée par Black Basta dont ils discuteront en privé tous les deux, sans qu’elle soit développée dans les échanges tout juste divulgués.

Après sa disparition de l’instance Matrix de Black Basta, sdd semble avoir tenté un retour, ou du moins essayé de renouer le contact avec Tramp, indirectement.

Tramp fait état de contacts avec le FSB et le GRU.

Un autre membre du groupe Black Basta, Nickolas, apparaît ainsi avoir eu un contact avec ssd début mai 2024 et cherche alors à en parler avec Tramp. Il le présente comme un gros bavard qui aurait réussi à maintenir un niveau de vie particulièrement élevé.

Nickolas suggère que ssd a réussi à gagner d’importantes sommes en redirigeant les internautes vers de faux sites de banque en ligne afin de récupérer leurs identifiants et leurs jetons de sessions. Les échanges divulgués ne fournissent pas d’éléments sur la suite.

Financièrement, la situation de Tramp est enviable. Le suivi des flux financiers liés à ses activités fait par exemple ressortir une adresse bitcoin sur laquelle dorment plus de 20 bitcoins (soit 2 millions de dollars à l’heure où sont publiées ces lignes) : 1BhUkxYoZuK5v6u83TgGaFyoJitBw3JapY. Cette adresse a encore été alimentée le 28 janvier dernier. Elle est activement utilisée depuis septembre 2017. Mais c’est aussi Tramp qui contrôlait les plus de 2 000 bitcoins venus de Conti consolidés le 17 janvier 2023 à l’adresse bc1q77q346n52l0sj46dxfr9sh8xz6nv9uxakexmgq.

Tramp recherché ?

Mais tout n’est peut-être pas rose pour autant. Les auteurs de la récente divulgation ont associé un nom au pseudonyme Tramp : Oleg Nefedov. Notre source nous l’avait déjà mentionnée. Et ce nom figure dans les colonnes du média arménien 168.am. 

Selon nos confrères, Oleg Nefedov a été arrêté en Arménie le 21 juin dernier. La justice locale devait statuer sur son sort sous 72 h. Mais faute de respecter ce délai, elle l’a remis en liberté. Le juge responsable de cette situation a fait l’objet de sanctions.

Oleg Nefodov serait recherché par les autorités américaines pour son implication dans des opérations frauduleuses à plusieurs milliards de dollars. À ce jour, aucun acte d’accusation le concernant n’a été rendu public par le ministère de la Justice des États-Unis.

L’analyse de l’activité associée au pseudonyme GG dans les échanges survenus sur l’instance Matrix de Black Basta fait ressortir une absence totale d’activité du 21 juin 2024 au 2 juillet inclus.

Pour approfondir sur Menaces, Ransomwares, DDoS