
L'effondrement rapide de Black Basta
Lorsque nous avons dressé le profil de Black Basta en mai dernier, le groupe avait déjà extorqué plus de 107 millions de dollars à plus de 329 victimes. Il venait de lancer une attaque d'envergure contre Ascension Health, perturbant 142 hôpitaux dans 19 États et à Washington DC. Le groupe semblait continuer à se développer jusqu'à la fin de 2024, mais des divisions internes minaient les opérations. Les conflits de loyauté amenaient certains membres à attaquer des cibles russes, ce qui est toujours interdit par les groupes basés en Russie. D'autres escroquaient leurs victimes en percevant le paiement de rançons sans fournir de clés de décryptage fonctionnelles, ce qui est considéré comme nuisible à la réputation du groupe. Les attaques de grande envergure et le choix des cibles ont également contribué à la fracture. Le groupe semble avoir cessé ses opérations le 11 janvier 2025. Il n'y a pas de victimes connues depuis cette date et les trois sites Web du groupe sont indisponibles.
C'est une véritable débâcle pour l'un des groupes de ransomware les plus actifs et les plus sophistiqués à avoir émergé au cours des deux dernières années. Que s'est-il passé ?
La fuite majeure
Nous pouvons remercier une personne se faisant appeler « ExploitWhispers » pour la plupart de ces informations. Le 11 février 2025, ExploitWhispers a divulgué au public environ 200 000 messages de chat internes de Black Basta. On ne connaît pas l'identité réelle d'ExploitWhispers, mais les analystes qui ont étudié ses messages affirment qu'elle se définissait principalement comme une femme et que son style d'écriture et sa façon de s'exprimer indiquaient qu'elle n'était pas de langue maternelle russe. ExploitWhispers déclare avoir divulgué les messages de chat parce que Black Basta avait « brutalement » attaqué l'infrastructure bancaire russe.
Les données divulguées concernaient des communications entre le 18 septembre 2023 et le 28 septembre 2024. Bien que la fuite ait eu lieu le 11 février, elle n'a pas attiré l'attention du grand public avant le 20 février 2025, lorsque la société de renseignement sur les menaces PRODAFT a publié de brèves informations à ce sujet.
Les messages ont révélé de nombreux détails sur la structure du groupe et ses principaux membres. Oleg Nefedov, qui passe pour être le principal leader, était lié à plusieurs pseudonymes, notamment « Tramp », « Trump », « GG » et « AA ». Nefedov était un membre actif de Revil et Conti et se trouve sous la protection de personnalités politiques russes de haut rang, ainsi que des agences de renseignement FSB et GRU. Il est perçu comme étant l'instigateur de la plupart des conflits internes. Il convient de noter ici que certains analystes pensent que les quatre pseudonymes mentionnés ci-dessus désignent plusieurs individus. Personne ne semble contester le rôle de Nefedov.
Le groupe comptait plusieurs administrateurs, « Lapa » et « YY » étant identifiés comme des personnages clés impliqués dans les tâches administratives et de soutien. Lapa aurait été « sous-payé et dégradé par son patron », supposé être Nefedov.
Les discussions ont également révélé que l'un des membres affiliés était âgé de 17 ans. Cette information n'a probablement pas été confirmée mais ne surprendrait personne. Cela fait des dizaines d'années que des mineurs sont impliqués dans le piratage informatique et la cybercriminalité. Un adolescent autrichien de 15 ans a été arrêté après avoir piraté près de 260 entreprises. Il a déclaré avoir commencé cette activité parce qu'il s'ennuyait.
Des détails techniques sur les chargeurs de malwares personnalisés, les portefeuilles de cryptomonnaies et les adresses e-mail des membres affiliés s'y trouvaient.
Les journaux de chat mentionnaient l'exploitation de 62 vulnérabilités communes uniques (CVE), y compris au moins dix CVE plus anciens, « mais pas oubliés ». Trois CVE ont fait l'objet de discussions avant leur publication officielle. Les discussions autour de ces vulnérabilités mettent en évidence le caractère opportuniste de la sélection des cibles sur la base de l'accès initial des exploits.
Le groupe a combiné des outils offensifs et défensifs pour mener ses attaques. ZoomInfo, ChatGPT, GitHub, Shodan, Metasploit et Cobalt Strike font partie des outils et techniques mentionnés dans les discussions. Les charges utiles malveillantes étaient hébergées sur des plateformes de partage de fichiers telles que transfer.sh et temp.sh.
Le groupe Black Basta s'est fortement appuyé sur des identifiants RDP (Remote Desktop Protocol) et VPN compromis pour l'accès initial et les déplacements latéraux. Ces identifiants étaient souvent achetés sur des marchés clandestins ou découverts grâce à des attaques de credential stuffing (ou bourrage d'identifiant) utilisant des bases de données précédemment compromises.
Les méthodes d'attaque et les tactiques d'accès initial ont été documentées dans les chats, et des rapports ont fait état de la défection de membres clés au profit de Cactus et d'Akira. Comme vous pouvez l'imaginer, ces informations sont un véritable cadeau pour les forces de l'ordre et les chercheurs en sécurité.
Le grand drame
Les fuites techniques ne constituent pas les messages les plus intéressants du lot. La tension en interne est montée d'un cran alors que Black Basta surveillait les perturbations causées par l'attaque contre Ascension Health. Un membre a partagé cette publication Reddit d'une infirmière touchée par l'attaque :
Je travaillais hier quand tout a commencé. C'était un cauchemar. Seuls certains ordinateurs ont fonctionné jusqu'à 16 h, heure à laquelle tout le système est tombé en panne. Avec une certaine frénésie, nous avons basculé sur les documents papier, tous les dossiers médicaux se trouvant maintenant dans des classeurs pour patients. … Plusieurs services sont fermés en raison de la panne.
…
Les patients sont redirigés vers d'autres hôpitaux car nous ne pouvons pas fonctionner ainsi (sans compter que le sous-sol de notre hôpital a été inondé cette semaine)
J’ai peur pour mes patients et l'exercice de mon métier. Il m’a fallu 6 heures pour que mon patient passe aux soins palliatifs et pour obtenir des ordonnances de morphine. Je ne peux plus assurer le suivi avec les médecins car les communications sont saturées.
Les membres de Black Basta étaient inquiets des conséquences de l'attaque. Exemples :
- GG : « Le FBI et la CISA sont obligés de s'impliquer à 100 %, d'où le fait qu'ils vont s'en prendre durement à Black Basta. ... Nous n'allons pas nous en débarrasser maintenant et il est fort probable que le logiciel finisse à la poubelle ».
- Tinker : « Si par malheur quelqu'un meurt… nous aurons de gros problèmes sur les bras, car cela sera considéré comme une attaque terroriste. … Je ne veux pas aller en enfer si un enfant atteint d'une malformation cardiaque décède. »
- NN : « Puis-je leur fournir le décryptage immédiatement sur demande ? »
Le chercheur en cybersécurité @BushidoToken a interprété l'intégralité de la conversation comme signifiant que Black Basta avait restitué les données d'Ascension et supprimé les copies volées sans exiger de rançon. Il semble que les principaux membres du groupe aient commencé à envisager un changement de nom à la suite de cette attaque.
Un sentiment de déjà vu ?
Mais oui, bien sûr. Le groupe de ransomware Conti, dont on sait désormais avec certitude qu'il est le père de Black Basta, a subi une panne similaire lorsque ses discussions internes, son code source et d'autres données sensibles ont été divulgués en février 2022. Les fuites sur Conti ont été orchestrées par un chercheur en sécurité ukrainien en réponse au soutien public de Conti à l'invasion de l'Ukraine par la Russie. Conti s'est dissous et ses membres ont formé Black Basta et d'autres groupes de menace.
Ce schéma de dissolution, de changement de nom et de réapparition est fréquent dans l'écosystème des ransomwares. Voici quelques exemples notables :
- REvil est apparu en avril 2019, environ 1 à 2 mois avant l'arrêt de GandCrab en mai 2019.
- BlackMatter est apparu fin juillet 2021, environ 2 mois et demi après l'arrêt de DarkSide en mai 2021.
- Conti est apparu en juillet 2020, ce qui coïncide avec le déclin progressif de Ryuk au cours des 6 à 8 mois suivants.
- RansomCartel est apparu en décembre 2021, environ 5 mois après la disparition initiale de REvil en juillet 2021.
Ces transitions se produisent généralement dans un délai de 2 à 6 mois après le déclin ou l'arrêt des opérations du groupe précédent, ce qui permet un transfert fluide des ressources et du personnel tout en évitant l'attention des forces de l'ordre.
Black Basta reviendra-t-il et pourquoi vous en soucier ?
Il semble peu probable que la marque Black Basta soit à nouveau active dans un avenir proche, mais un changement de nom ou une ramification est envisageable. L’inactivité récente de Black Basta suggère que le groupe est en train de passer à une nouvelle stratégie, et les chats divulgués ont révélé des discussions autour d'un changement de nom pour éviter une surveillance accrue. On a déjà pu observer des membres passer à des groupes comme Cactus et Akira, souvent signe avant-coureur du changement de nom des principaux auteurs malveillants. Et franchement, c'est tout simplement une norme dans l'industrie du ransomware de changer de nom ou de fusionner avec d'autres auteurs de menaces après que l'image d'une marque ait été écornée. Même s’il n’y a pas de changement de nom, d’autres groupes apparaîtront pour combler le vide laissé par le déclin de Black Basta.
Alors, en quoi est-ce important puisque cela se produit si souvent de toute façon ? Pour certaines entreprises, cela n’a aucune importance. Leurs défenses contre les ransomwares ne changeront pas beaucoup en raison d'un changement de nom et de toute façon, ils ne parviennent pas à suivre le rythme des auteurs de menaces. Mais pour les fournisseurs de sécurité et les équipes informatiques, comprendre le cycle de vie de ces groupes les aidera à mieux se familiariser avec les méthodes d'attaque. Les groupes rebaptisés conservent souvent les mêmes tactiques et capacités que le groupe précédent, mais les membres ont acquis de l'expérience grâce au succès et à l'échec éventuel de leur ancien groupe. Ils utilisent les périodes d'inactivité entre deux noms pour optimiser leurs opérations et recruter des membres ou des talents dans le nouveau groupe. Les fuites publiques, les actions des forces de l'ordre et les recherches des experts en sécurité peuvent aider les entreprises à se tenir informées des menaces potentielles.
Saviez-vous que...
Le nombre de ransomwares a plus que doublé d'une année sur l'autre et les pirates ciblent des organisations de toutes tailles. Personne n'est à l'abri. Ils ne cessent de perfectionner leurs techniques et parviennent de plus en plus à contourner les systèmes de défense mis en place. Le dernier type de menace à avoir fait son apparition – les attaques par ransomware basées sur l’IA – devrait augmenter le nombre d’attaques auxquelles les entreprises sont confrontées ainsi que leur taux de réussite. Barracuda peut vous aider.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter