Une fuite massive de messages internes de Black Basta révèle des conflits internes.
Black Basta en plein chaos : révélations inédites sur un empire du ransomware en déclin
Le 11 février 2025, une fuite massive a exposé plus de 200 000 messages internes du groupe de ransomware Black Basta. Une opportunité rare de plonger dans les rouages de cette organisation cybercriminelle.
Un empire cybercriminel fragilisé par des luttes internes
Black Basta, actif depuis 2022, figure parmi les groupes de ransomware les plus redoutés. Il a ciblé plusieurs secteurs stratégiques, notamment la finance, la santé et les infrastructures critiques. Mais en interne, tout n’était pas aussi fluide qu’on pourrait l’imaginer.
L’arrestation d’un des leaders a semé la panique parmi les membres. Des dissensions se sont intensifiées, notamment autour de la décision controversée d’attaquer des banques russes. Certains estimaient que cela mettait tout le groupe en danger en attirant l’attention des autorités locales. Un climat de suspicion s’est installé, jusqu’à ce qu’un initié, vraisemblablement, décide de divulguer les échanges internes.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Dans ces échanges, il apparaît aussi, par exemple, des conflits concernant les contributions des membres de l’équipe et des désaccords sur les relations commerciales au sein du groupe. Un criminel déclare par exemple que : « Nous défendons simplement nos intérêts commerciaux, mais changer brusquement les conditions de travail et prétendre que « les règles sont différentes maintenant » est une pure manipulation. » Il a également commenté le manque de loyauté dans des situations où des efforts importants ont été investis.
Ces tensions internes ont donc contribué à l’instabilité du groupe, alimentant les soupçons et fragilisant la cohésion de Black Basta.
Les méthodes redoutables de Black Basta pour piéger ses victimes
L’analyse des messages révèle les méthodes employées par Black Basta pour s’introduire dans les systèmes de leurs victimes. Le groupe était très organisé et exploitait plusieurs techniques :
- Accès initial : exploitation des services RDP exposés, utilisation de malwares déguisés et vol d’identifiants via des logiciels malveillants.
- Propagation : mouvement latéral à travers les réseaux, usage d’outils comme Cobalt Strike pour étendre leur accès.
- Extorsion : chantage au ransomware, menace de fuite de données sensibles et négociations serrées avec les victimes.
Les demandes de rançon pouvaient atteindre plusieurs millions de dollars. Dans certains cas, elles étaient négociées jusqu’à une réduction de 50 %.
Comment se protéger des cyberattaques inspirées de Black Basta
La fuite des discussions de Black Basta offre des enseignements clés pour les professionnels de la cybersécurité. Voici quelques recommandations :
- Renforcer les accès : adopter l’authentification multi-facteurs pour éviter les compromissions de comptes.
- Mettre à jour régulièrement les systèmes : corriger les vulnérabilités exploitées par les attaquants.
- Déployer des solutions de surveillance : utiliser des outils de détection avancée pour repérer rapidement les activités suspectes.
- Former les employés : sensibiliser aux risques du phishing et aux bonnes pratiques de cybersécurité.
Quand la cybercriminalité se saborde elle-même
L’affaire Black Basta rappelle une vérité récurrente dans le monde cybercriminel : les conflits internes et la trahison sont souvent les pires ennemis de ces organisations. La divulgation de leurs échanges fournit une opportunité précieuse pour les défenseurs. En exploitant ces informations, les entreprises peuvent mieux anticiper les menaces et renforcer leurs stratégies de protection.
Pour en savoir plus
Des fuites de journaux de discussion révèlent le fonctionnement interne d’un groupe de ransomware secret
Plus d’un an de communications internes de l’un des syndicats de ransomware les plus actifs au monde ont été publiées en ligne dans une fuite qui révèle les tactiques, les secrets commerciaux et les divisions internes de ses membres.
Fuite des conversations internes de Black Basta : tout ce que vous devez savoir
Le 11 février 2025, une fuite des journaux de discussion internes de Matrix de Black Basta a révélé des conflits au sein du groupe, prétendument liés à des attaques contre des banques russes. Cette fuite reflète les précédentes, révélant une instabilité du leadership, un moral bas et des conflits internes. Des membres clés ont fait défection vers des groupes rivaux, affaiblissant les opérations de Black Basta.
(Re)découvrez également:
Comment Black Basta exploite l’email bombing – Alerte OFCS
Le 5 novembre 2024, l’OFCS a alerté sur les tactiques de Black Basta, un groupe malveillant qui utilise l’email bombing et les ransomwares pour attaquer des entreprises suisses.
Cette veille indépendante vous est utile ?
Offrez un café pour soutenir le serveur (et le rédacteur).
