De Black Basta à Cactus, les traces techniques de transfuges

L’enseigne de ransomware Cactus est ouvertement connue depuis la fin du mois de juillet 2023, date à laquelle son site vitrine a été rendu public. L’une de ses premières victimes connues avait toutefois été attaquée à la fin du mois d’avril précédent. 

Kroll a compté parmi les premiers à documenter l’activité de Cactus, en mai 2023, faisant remonter les débuts de l’enseigne à mars 2023, avec l’exploitation de vulnérabilités affectant des appliances VPN pour établir son accès initial. 

Son ransomware ne manquait pas d’une certaine originalité : chiffré, il avait besoin, pour s’exécuter, d’une clé stockée dans un fichier lu à l’occasion du déclenchement d’une tâche planifiée. L’enseigne communique avec ses victimes via email ou la messagerie chiffrée Tox.

En février 2024, Bitdefender a documenté une cyberattaque impliquant Cactus, qui avait commencé par l’exploitation de la vulnérabilité CVE-2023-38035 affectant Ivanti MobileIron Sentry. Ce dernier avait alerté à son sujet en août 2023. Cette vulnérabilité a été exploitée pour l’attaque avec ransomware, mais Bitdefender n’a pas établi si l’affidé Cactus avait lui-même exploité la vulnérabilité ou s’il avait obtenu l’accès d’un tiers l’ayant précédé.

C’est Cactus qui a été utilisé dans une cyberattaque conduite contre Synertrade en juin 2024. À l’époque, sa maison-mère Econocom évoquait ouvertement un maliciel fortement maquillé. De quoi rappeler les analyses antérieures de Kroll.

C’est en tout cas à cette période que des affidés de Black Basta semblent avoir commencé à quitter le navire. Désormais, ce gang apparaît en phase d’implosion, une situation qui bénéficie clairement à Akira, mais profiterait aussi à Cactus. Et là, les indices se sont multipliés récemment.

C’est Trend Micro qui établit le lien, en notant que des affidés de Cactus utilisent un maliciel connu pour avoir été employé par des acteurs malveillants liés à Black Basta : BackConnect.

Tout part d’un effort d’ingénierie sociale, durant lequel la victime en devenir est sollicitée par une personne se faisant passer par son support technique et l’enjoignant à lui permettre de prendre à distance le contrôle de sa machine via l’outil natif Quick Assist. Une technique connue pour être employée par Black Basta, rappelle Trend Micro.

De là, l’assaillant s’occupe d’installer BackConnect, qui lui assurera persistance et accès à distance furtif. Ce qui conduira, in fine au déploiement du ransomware. Mais cette fois-ci, pas celui de Black Basta : celui de Cactus.

BackConnect avait été précédemment documenté, fin janvier. Il présentait des traces claires de développement par les auteurs de Qbot (ou Qakbot).

Ce dernier est notamment connu pour avoir servi à l’établissement d’accès initiaux exploités par des acteurs liés aux enseignes Conti, Egregor, mais aussi REvil, et Black Basta. Il a fait l’objet d’une importante opération judiciaire en août 2023.

Tramp évoquait toutefois l’un des opérateurs de Qakbot dans un échange avec les membres de Black Basta, fin décembre 2023, déplorant : « nous ne sommes apparemment plus un syndicat ». Il assurait toutefois : « nous avons notre propre très bon logiciel et il tient bien la charge ».