Ransomware : fin de parcours pour l’enseigne BlackSuit

L’enseigne de rançongiciel BlackSuite n’est plus : son infrastructure a été, au moins en partie, saisie par la Justice dans le cadre d’une opération judiciaire internationale.

Les premières victimes connues de BlackSuit remontent à juin 2023, mais c’est à partir de novembre 2023 qu’elles ont commencé à se multiplier, et plus encore à partir d’avril 2024. À ce jour, on compte un peu plus de 180 revendications. 

À l’automne 2023, l’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) le suspectait (et n’était pas seule en cela) : « il existe des indications selon lesquelles Royal prépare un effort de changement de marque et/ou de spinoff ». En ligne de mire, BlackSuit, qui « partage plusieurs caractéristiques de code similaires avec Royal ».

Royal, c’est le groupe qui est impliqué dans la cyberattaque ayant frappé la ville de Lille fin février 2023. Il trouvait ses origines dans une franchise découverte en janvier 2022 et baptisée Zeon. Aucune de ses victimes n’est publiquement connue.

Yelisey Bohuslavskiy, de RedSense, estime que BlackSuit est une émanation de la seconde équipe de feu Conti, ayant choisi de s’ouvrir et se décentraliser, recrutant des assaillants (ou pentesters, selon le jargon en vigueur dans le monde de la cybercriminalité) chez LockBit, Akira (autre émanation de Conti) et BlackCat.

Selon lui, en mars dernier, une scission a eu lieu chez BlackSuit, faisant émerger un autre spin-off de Royal, BlackSpade. C’est ce sous-groupe qui serait responsable de l’attaque contre Octapharma Plasma et CDK.

BlackSuit n’était ainsi pas un groupe monolithique. Et selon Talos, la nouvelle franchise Chaos est « vraisemblablement composée d’anciens membres de BlackSuit ». Qui auraient donc quitté le navire avant qu’il ne coule.