Black Basta : les traces d’un ancien réapparaissent chez ThreeAM

Les équipes de Sophos ont peut-être constaté le passage d’un ancien de Black Basta vers l’enseigne ThreeAM. Et ce ne serait qu’une demi-surprise.

Dans un billet de blog, Sean Gallagher, Robert Weiland, et Colin Cowie expliquent que Sophos a aidé, au premier trimestre 2025, une organisation frappée « par des attaquants affiliés au groupe de ransomware 3AM ». Le mode opératoire observé impliquait des bombardements de courriels observés dans de nombreuses attaques, et rapportés dès mai 2024 par Microsoft. Ce dernier les avaient alors associés à Storm-1811, « un groupe cybercriminel motivé financièrement et connu pour déployer le rançongiciel Black Basta ».

Mais il y avait plus : « l'attaquant a utilisé un appel téléphonique qui usurpait le numéro de téléphone du service informatique de l'organisation. L'attaque comprenait le déploiement d'une machine virtuelle sur un ordinateur compromis, fournissant aux attaquants un premier point d'ancrage caché à la vue du logiciel de protection des terminaux. L'attaque par ransomware a été déjouée, mais les attaquants ont pu rester sur le réseau pendant 9 jours avant de tenter de lancer le ransomware. Ils ont réussi à voler des données sur le réseau de l'organisation ciblée ».

Cette approche renvoie directement à Black Basta, ou du moins à certains des membres de cette enseigne aujourd’hui disparue. Sophos les suit sous la désignation STAC5777. Comme Sean Gallagher, Robert Weiland, et Colin Cowie le relèvent, ces méthodes sont mentionnées dans les conversations internes à Black Basta divulguées plus tôt cette année. De même que Royal/BlackSuit.

Déjà début 2024, les équipes d’Intrinsec avaient établi que ThreeAM travaillait sous l’aile de l’équipe de feu-Conti dont émanait Royal. Dans un échange avec ses équipes, Tramp affirmait même avoir contribué au développement du rançongiciel pour ESXi, du moins l’automatisation de son déploiement.

Le passage d’un membre de Black Basta chez ThreeAM apparaît d’autant plus vraisemblable que deux des cinq spécialistes de l’ingénierie sociale, du hameçonnage et du vishing, sous les pseudonymes de tinker et princehorn, comptent parmi ceux qui ont cessé de communiquer sur l’instance Matrix de l’enseigne en juin 2024.

Le groupe ThreeAM ne compte pas parmi les plus actifs ni les plus vocaux de l’écosystème du rançongiciel. À ce jour, seule une soixantaine de victimes lui est connue. Elle a en outre mis plusieurs mois à commencer à divulguer, en septembre dernier, les données volées à ses victimes.