Catégories

Black Basta : 200 000 messages internes dévoilent les coulisses d’un empire cybercriminel

Soutenez DCOD ☕ Offrez un café pour cette veille gratuite!
Une fuite massive de messages internes de Black Basta révèle des conflits internes.

Black Basta en plein chaos : révélations inédites sur un empire du ransomware en déclin

Le 11 février 2025, une fuite massive a exposé plus de 200 000 messages internes du groupe de ransomware Black Basta. Une opportunité rare de plonger dans les rouages de cette organisation cybercriminelle.

Un empire cybercriminel fragilisé par des luttes internes

Black Basta, actif depuis 2022, figure parmi les groupes de ransomware les plus redoutés. Il a ciblé plusieurs secteurs stratégiques, notamment la finance, la santé et les infrastructures critiques. Mais en interne, tout n’était pas aussi fluide qu’on pourrait l’imaginer.

L’arrestation d’un des leaders a semé la panique parmi les membres. Des dissensions se sont intensifiées, notamment autour de la décision controversée d’attaquer des banques russes. Certains estimaient que cela mettait tout le groupe en danger en attirant l’attention des autorités locales. Un climat de suspicion s’est installé, jusqu’à ce qu’un initié, vraisemblablement, décide de divulguer les échanges internes.

Dans ces échanges, il apparaît aussi, par exemple, des conflits concernant les contributions des membres de l’équipe et des désaccords sur les relations commerciales au sein du groupe. Un criminel déclare par exemple que : « Nous défendons simplement nos intérêts commerciaux, mais changer brusquement les conditions de travail et prétendre que « les règles sont différentes maintenant » est une pure manipulation. » Il a également commenté le manque de loyauté dans des situations où des efforts importants ont été investis. 

Ces tensions internes ont donc contribué à l’instabilité du groupe, alimentant les soupçons et fragilisant la cohésion de Black Basta.

Les méthodes redoutables de Black Basta pour piéger ses victimes

L’analyse des messages révèle les méthodes employées par Black Basta pour s’introduire dans les systèmes de leurs victimes. Le groupe était très organisé et exploitait plusieurs techniques :

  • Accès initial : exploitation des services RDP exposés, utilisation de malwares déguisés et vol d’identifiants via des logiciels malveillants.
  • Propagation : mouvement latéral à travers les réseaux, usage d’outils comme Cobalt Strike pour étendre leur accès.
  • Extorsion : chantage au ransomware, menace de fuite de données sensibles et négociations serrées avec les victimes.

Les demandes de rançon pouvaient atteindre plusieurs millions de dollars. Dans certains cas, elles étaient négociées jusqu’à une réduction de 50 %.

Comment se protéger des cyberattaques inspirées de Black Basta

La fuite des discussions de Black Basta offre des enseignements clés pour les professionnels de la cybersécurité. Voici quelques recommandations :

  • Renforcer les accès : adopter l’authentification multi-facteurs pour éviter les compromissions de comptes.
  • Mettre à jour régulièrement les systèmes : corriger les vulnérabilités exploitées par les attaquants.
  • Déployer des solutions de surveillance : utiliser des outils de détection avancée pour repérer rapidement les activités suspectes.
  • Former les employés : sensibiliser aux risques du phishing et aux bonnes pratiques de cybersécurité.

Quand la cybercriminalité se saborde elle-même

L’affaire Black Basta rappelle une vérité récurrente dans le monde cybercriminel : les conflits internes et la trahison sont souvent les pires ennemis de ces organisations. La divulgation de leurs échanges fournit une opportunité précieuse pour les défenseurs. En exploitant ces informations, les entreprises peuvent mieux anticiper les menaces et renforcer leurs stratégies de protection.

Pour en savoir plus

Des fuites de journaux de discussion révèlent le fonctionnement interne d’un groupe de ransomware secret

Plus d’un an de communications internes de l’un des syndicats de ransomware les plus actifs au monde ont été publiées en ligne dans une fuite qui révèle les tactiques, les secrets commerciaux et les divisions internes de ses membres.

Lire la suite sur arstechnica.com
Des fuites de journaux de discussion révèlent le fonctionnement interne d'un groupe de ransomware secret

Fuite des conversations internes de Black Basta : tout ce que vous devez savoir

Le 11 février 2025, une fuite des journaux de discussion internes de Matrix de Black Basta a révélé des conflits au sein du groupe, prétendument liés à des attaques contre des banques russes. Cette fuite reflète les précédentes, révélant une instabilité du leadership, un moral bas et des conflits internes. Des membres clés ont fait défection vers des groupes rivaux, affaiblissant les opérations de Black Basta.

Lire la suite sur SOCRadar® Cyber Intelligence Inc.

(Re)découvrez également:

Comment Black Basta exploite l’email bombing – Alerte OFCS

Le 5 novembre 2024, l’OFCS a alerté sur les tactiques de Black Basta, un groupe malveillant qui utilise l’email bombing et les ransomwares pour attaquer des entreprises suisses.

Lire la suite sur dcod.ch
Comment Black Basta exploite l'email bombing - Alerte OFCS
Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

Des idées de lecture cybersécurité

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking

Sécurité informatique - Ethical Hacking : Apprendre l'attaque pour mieux se défendre

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

Cyberattaques: Les dessous d'une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.