Ransomware : comme Conti avant lui, Black Basta sur la voie de l’implosion

Juillet 2024. Stéphane Cordier, directeur de la transformation et DSI du groupe Baccarat racontait la cyberattaque à laquelle il était confronté le 19 septembre 2023. 

« Nous avons tous reçu un message de la direction générale via Teams. Notre Teams n’était pas verrouillé à l’extérieur et il s’agissait d’un faux message avec de nombreuses pièces jointes associées, avec les résultats de l’année, etc. Entre 10 à 15 personnes ont cliqué sur le lien et ont ouvert des portes à Black Basta », explique-t-il alors.

Ce récit confirme l’authenticité d’un document de près de 50 Mo divulgués ce jeudi 20 février au matin : près d’un an d’échanges entre les membres de l’enseigne cybercriminelle Black Basta.

Dans ces échanges, on retrouve la conversation entre les membres du groupe le 19 septembre 2023. Le premier message survient à 16h53. Il parle bien de fishing. Le groupe cybercriminel apparaît occupé, en parallèle, avec une seconde victime.

Les échanges divulgués démarrent peu avant, en fait : le 18 septembre. Le groupe semble en train de finir de mettre en place sa nouvelle infrastructure. Mais sans perdre de temps. 

Les derniers échanges sont relativement récents : ils remontent à septembre 2024. Soit le retour de congés de l’un des leaders du groupe, connu notamment sous le pseudonyme de Tramp depuis l’implosion de Conti. Dans les échanges, il utilise le pseudonyme GG. Il cesse d’y apparaître le 20 août, pour revenir le 31 tout en indiquant être encore en congé jusqu’à la mi-septembre.

Selon Prodaft, cette fuite remonte à début février, Tramp (désigné par les auteurs de divulgation publique des échanges sous le nom d’Oleg Nefedov) étant au cœur de dissensions internes. L’un des affiliés serait déjà parti chez Cactus, une enseigne découverte durant l’été 2023. 

Déjà le 5 février, Yelisey Bohuslavskiy, de RedSense, estimait justement que Black Basta se portait mal, confortant nos propres suspicions. Selon nos informations, les tensions étaient déjà présentes fin 2024.

Les échanges tout juste divulgués font ressortir de nombreux éléments sur les tactiques, techniques et procédures de Black Basta, sans compter les noms de plus de 350 organisations ayant clairement attiré l’attention du groupe (sans nécessairement avoir été, en définitive, attaquées) : les liens vers leurs fiches ZoomInfo sont mentionnés dans les échanges.

À cela s’ajoute également un grand nombre d’adresses Bitcoin qui, après attribution, joueront vraisemblablement un rôle important dans les investigations des forces judiciaires du monde entier.