Comme un air de déjà-vu. Trois ans après l’explosion en plein vol du gang de cybercriminels Conti, sur fond de dissensions internes sur la guerre déclenchée en Ukraine par la Russie, une nouvelle franchise spécialisée dans le rançongiciel vient de faire les frais d’une fuite de données.
En fin de semaine dernière, un mystérieux internaute a en effet partagé un fichier rassemblant une partie des échanges internes de “Black Basta”, l’un des gangs justement né sur les cendres de Conti. Soit un trésor de près de 200 000 messages en russe échangés de septembre 2023 à septembre 2024 via le protocole de messagerie Matrix.
Comme le souligne la société européenne de renseignement sur les cybermenaces Prodaft, la fuite date du 11 février. Elle serait dûe à des dissensions internes à la nature incertaine. Des cybercriminels auraient escroqué des victimes en ne leur fournissant pas les bons outils de déchiffrement des données, tandis que le ciblage de banques russes aurait provoqué des remous.
Plongée dans les coulisses
Quoiqu’il en soit, de manière analogue à la fuite de données de Conti, ces messages offrent une saisissante plongée dans les coulisses d’une PME du cybercrime. Et peut être des indices pour identifier et interpeller des membres du groupe criminel. Plusieurs outils ont été mis en ligne pour explorer ces messages, d’Hudson Rock à ce dépôt Github mis en place par deux spécialistes français.
“L’arrestation récente” d’un membre, visiblement l’adjoint du patron, et son “traitement réservé par la police ont probablement suscité des inquiétudes”, remarquait par exemple l’un des experts de Prodaft sur le réseau social X. Au sujet d’un autre cybercriminel, il note que ce dernier est “fréquemment insulté par son patron, qui exige constamment des changements majeurs”.
Sans que ce dernier ne puisse évidemment se tourner vers un conseil de prud’hommes. On peut enfin s’apercevoir dans les messages que le géant français de l’aéronautique Safran est apparu un temps dans le viseur du groupe, avec la diffusion de la fiche Zoominfo, un moteur de recherche d’entreprises, de sa filiale Landing Systems.
Groupe en déclin
Des déboires qui n’ont pas surpris les experts en cybermenaces. La chute de Black Basta était en effet attendue. Même si le gang “reste dangereux”, Yelisey Bohuslavskiy, le directeur de la recherche de l’entreprise américaine Red Sense, signalait sur LinkedIn une “crise de la motivation” et “un déclin du groupe”.
Le démantèlement du malware Qakbot par le FBI avait également pu compliquer les opérations du groupe. Ce programme malveillant servait de porte d’entrée à plusieurs groupes de rançongiciels, dont Black Basta.
La franchise était apparue au printemps 2022. En France, le gang avait notamment visé le cristallier de luxe Baccarat. L’organisation criminelle aurait au total fait plus de 500 victimes dans le monde, selon un rapport américain, pour des revenus criminels évalués en novembre 2023 à un minimum de 107 millions de dollars, soit à peu près autant d’euros.