Black Basta : le début de la fin du gang semble remonter à l’été 2024

Les conversations internes au gang de rançongiciels Black Basta, ayant fuité au mois de février, continuent de livrer des éclairages inédits sur ses activités. 

Le suivi du nombre de messages échangés par semaine, plutôt que par mois, fait ainsi ressortir un point régulièrement suspecté : les cybercriminels prennent des congés à l’occasion de la fête de Noël orthodoxe, au début du mois de janvier. Sur trois semaines, en janvier 2023, les membres du gang Black Basta ont ainsi été très majoritairement silencieux, jusqu’à lapa, pourtant l’un des plus actifs. Même le leader du groupe, tramp – ou plutôt Oleg – a réduit son activité durant cette période. 

La même se produit début juillet 2024, pour moins longtemps toutefois. Il y a néanmoins une différence de taille avec les congés de début d’année. Un classement des individus émetteurs de messages dans l’instance Matrix de Black Basta, par dernière date d’activité dans celle-ci, le fait apparaître distinctement : une dizaine de membres du gang ne reviennent pas. 

Quatre avaient déjà fait le coup à l’occasion des congés de début 2024. Mais en juillet, c’est une hémorragie. Et certains départs semblent loin d’être anecdotiques. Parmi eux, on compte ainsi tinker qui a conduit les négociations avec Ascension Health, au printemps 2024. Plusieurs pentesters partent au même moment, affectant ainsi les capacités opérationnelles du gang.

Lapa et tramp reprennent leurs activités, mais les échanges apparaissent considérablement moins denses qu’avant l’arrestation du second, suggérant que cet épisode a eu un impact sur la motivation d’Oleg. 

L’activité observable du gang, à partir de ses revendications et de l’estimation de la date effective de survenue des attaques correspondantes, laissait déjà entrevoir un arrêt des hostilités en juillet et août 2024, avant une reprise, marquée en octobre, suivie d’un effondrement juste après.

Parallèlement, l’activité observable d’Akira a explosé. De sources concordantes, des affidés de Black Basta ont migré chez Akira et Cactus.

En étudiant attentivement les échanges internes de Black Basta, l’analyste en renseignement sur les menaces cyber et chercheur en cybercriminalité Oleg Lypko a mis en évidence l’organisation interne du gang. 

La cartographie qu’il en fait met en évidence 14 pentesters – ces acteurs clés qui s’occupent notamment de conduire effectivement les attaques, de l’exploitation des accès initiaux jusqu’au déploiement du ransomware. 

Sur ces 14 cartographiés, deux partent début 2024. Et pas des moindres. L’un d’entre eux est responsable des attaques conduites contre l’Allemand Rekord et l’étude Villa Florek, en novembre 2023. Plus tôt, il a également frappé quatre victimes aux Pays-Bas. 

Fin juin 2024, huit autres pentesters partent, accompagnés par deux membres du groupe spécialisés dans l’ingénierie sociale et la négociation. Pour la reprise des offensives, Black Basta n’a plus que 2 pentesters. Le gang est exsangue.

Article publié initialement le 3 mars 2025, mis à jour le 7 mars 2025.