L'erreur de Black Basta : exploiter les fuites des discussions du groupe
Présentation consacrée aux menaces — 17 mars 2025
Vue d'ensemble
Black Basta, un célèbre groupe de pirates spécialisés dans les attaques par rançongiciel et lié aux entreprises criminelles Ryuk et Conti, s'est retrouvé exposé lorsqu'une fuite de son serveur de discussion Matrix est apparue sur un canal Telegram. Le serveur de messagerie, hébergé sur le domaine bestflowers247[.]online, a fait l'objet d'une fuite initiée par un utilisateur utilisant le pseudonyme ExploitWhispers. Les fichiers divulgués contenaient des documents JSON détaillant l'horodatage, les informations de l'expéditeur et du destinataire, les identifiants des fils et le contenu des messages. Véritable mine d'informations exploitables sur les opérations du groupe, ces données nous aident à identifier les comptes et les domaines essentiels utilisés par ses membres.
Les données de discussion divulguées offrent non seulement un aperçu des rouages internes de Black Basta, mais apportent également des éclaircissements sur l'écosystème des rançongiciels dans son ensemble. La possibilité de mieux comprendre comment le groupe évolue au sein de cet écosystème propose un point de vue précieux sur son échelle et ses capacités, ainsi que différentes méthodes disponibles pour évaluer son efficacité et son incidence. L'une des approches consiste à analyser les transactions en cryptomonnaies attribuées au groupe criminel. Kaitlin Martin, de l'entreprise de blockchain intelligence (informations sur la blockchain) Chainalysis, a souligné ce point précis concernant la fuite de Black Basta :
« Les données en chaîne et hors chaîne contenues au sein des discussions de Black Basta ayant fuité montrent de quelle manière le groupe s'appuie sur divers services web, services tiers et forums du dark web pour ses opérations. Les paiements effectués à ces services, non seulement par Black Basta, mais également par d'autres groupes adeptes des attaques par rançongiciel, démontrent à quel point ces services font partie de l'infrastructure essentielle de l'écosystème des rançongiciels. »
En examinant les transactions financières et les dépendances opérationnelles, les chercheurs peuvent mieux comprendre l'écosystème au sein duquel ces groupes opèrent et évoluent.
Un aspect essentiel de cet écosystème réside dans la manière dont les groupes de pirates spécialisés dans les rançongiciels sélectionnent leurs victimes. S'il est vrai que certaines régions du monde et certains secteurs sont affectés de manière disproportionnée, il semble que les gangs de criminels adeptes des attaques par rançongiciel ne sélectionnent pas au hasard des victimes spécifiques, mais qu'ils choisissent leurs victimes au sein d'un ensemble de machines déjà compromises. Les gangs de pirates informatiques spécialisés dans les rançongiciels se coordonnent avec des équipes criminelles qui infectent des milliers de machines chaque jour, puis passent en revue la liste des systèmes compromis pour identifier ceux qui appartiennent à des entreprises bien financées.
Dans de nombreux cas, les groupes de pirates adeptes des rançongiciels achètent l'accès initial aux hôtes victimes auprès de courtiers qui passent au peigne fin d'énormes ensembles d'identifiants échangés et vendus sur les marchés et les forums criminels. Ces identifiants, collectés par des voleurs d'informations comme LummaC2, appartiennent souvent à des comptes de systèmes d'accès à distance tels que RDWeb, Citrix et les VPN basés sur navigateur. La compréhension de ce processus de sélection souligne l'importance d'une sécurité robuste des identifiants, de la segmentation du réseau et d'une surveillance proactive des menaces pour perturber les opérations des rançongiciels avant qu'elles ne deviennent de véritables attaques.
Avant la fuite, Black Basta a lancé des opérations de rançongiciels très efficaces, qui lui ont permis de compromettre de nombreuses entreprises et d'infliger des millions de dollars aux entreprises, tant en termes de dégâts occasionnés que de versement des rançons. Les données de discussion divulguées fournissent des informations sur les tactiques, techniques et procédures (TTP) du groupe, tout en proposant une visibilité sur ses opérations. Grâce à ces données, Cloudflare a suivi l'activité de Black Basta et a découvert des informations uniques sur son infrastructure et ses méthodes d'attaque. Les entreprises peuvent tirer parti de ces informations pour renforcer leur compréhension des gangs de pirates spécialisés dans les attaques par rançongiciel comme Black Basta afin d'améliorer leurs défenses et d'anticiper proactivement leurs prochaines attaques, en réduisant ainsi le risque de se retrouver victimes d'attaques à l'avenir.
Cloudforce One dissèque les TTP de Black Basta
Lorsque Cloudforce One a obtenu le fichier bestflowers.json, nous avons d'abord énuméré toutes les infrastructures référencées dans les discussions, en nous concentrant sur celles pour lesquelles nous disposions d'une visibilité unique. Au cours de ce processus, nous avons identifié les techniques employées par Black Basta pour faciliter l'exfiltration de données et dissimuler son infrastructure distante. Nous avons analysé cette infrastructure en profondeur afin d'évaluer son impact potentiel. Notre enquête a confirmé que bon nombre des domaines mentionnés dans les discussions n'ont pas été utilisés. Cette information suggère donc qu'ils ont été créés à titre préventif pour des tâches opérationnelles qui ne se sont jamais concrétisées.
Black Basta a suivi une procédure cohérente pour créer ses comptes auprès de fournisseurs d'infrastructure. Les membres du groupe partageaient régulièrement des informations sur la création de comptes dans le fil de discussion, notamment des noms, des adresses postales et des identifiants de connexion. Ils utilisaient des domaines appartenant à des entreprises pour leurs adresses e-mail, plutôt que de passer par des services de courrier électronique gratuits. Pour gérer leur infrastructure, les pirates se connectaient depuis différents réseaux et se reposaient parfois (sans qu'il s'agisse d'un schéma constant) sur les services d'anonymisation. Bien que leurs mots de passe soient raisonnablement complexes, les utilisateurs réutilisaient souvent les mêmes dans plusieurs comptes.
Une fois l'enquête sur l'infrastructure de Black Basta terminée, nous avons examiné en détail les discussions afin d'analyser leurs méthodes d'accès initial, leurs tactiques post-exploitation et leurs stratégies de négociation. Black Basta a activement tiré parti d'un logiciel malveillant précurseur, comme Qakbot, pour infiltrer un grand nombre de machines à travers le monde. Après avoir obtenu l'accès, le groupe a identifié des cibles de grande valeur par l'intermédiaire de tâches de post-exploitation, notamment à l'aide de techniques bien connues telles que l'installation de balises persistantes, l'énumération de répertoires et l'escalade des privilèges.
Dans certains cas, les criminels ont pénétré des systèmes en mettant en œuvre d'autres méthodes impliquant des identifiants collectés par un voleur d'informations. Cloudforce One a identifié certains des comptes associés au sein d'ensembles d'identifiants échangés et partagés librement sur divers canaux Telegram dédiés aux journaux utilisés par ces pirates informatiques. L'image ci-dessous montre un exemple de message Telegram impliquant l'un de ces comptes compromis.
La dépendance de Black Basta envers le vol d'identifiants et les logiciels malveillants souligne la nature interconnectée de l'écosystème des rançongiciels, qui repose non seulement sur l'accès initial, mais également sur l'infrastructure financière qui soutient ses opérations. Le versement des rançons s'effectue en cryptomonnaies, principalement en bitcoins. Les discussions qui ont fuité contiennent de nombreuses adresses de plateformes de cryptomonnaies qui peuvent servir de destinations pour les paiements. Or, ces informations peuvent être recoupées avec d'autres adresses afin d'analyser l'empreinte financière et l'impact de Black Basta.
Le groupe fait également référence aux cryptomonnaies en ce qui concerne l'organisation des paiements des infrastructures. Les intervenants y précisent les montants et proposent parfois plusieurs options de paiement en cryptomonnaies. Cette approche reflète les pratiques observées lors des fuites de discussions Conti en 2022, au sein desquelles les membres de l'équipe demandaient régulièrement aux responsables d'effectuer des paiements en cryptomonnaies servant à financer et utiliser des serveurs privés virtuels, des noms de domaine et des services de VPN.
Comment vous protéger
De nombreux journaux et articles de blog proposent diverses recommandations pour l'atténuation des attaques par rançongiciel, mais ils ne parviennent souvent pas à s'attaquer aux causes premières de ces incidents. Les groupes spécialisés dans les rançongiciels obtiennent généralement un accès initial à l'aide de plusieurs méthodes clés :
Vol et revente d'identifiants : les voleurs d'informations récupèrent des identifiants d'accès à distance, qui sont ensuite vendus à des courtiers d'accès initiaux. Ces courtiers les vendent à leur tour à des gangs de criminels adeptes des attaques par rançongiciel.
Déploiement de logiciels malveillants précurseurs : les pirates informatiques diffusent divers logiciels malveillants, comme Qakbot et ICedID, à l'aide de campagnes de spam généralisées. Ils identifient ensuite les cibles de grande valeur contre lesquelles envoyer leurs rançongiciels parmi les machines infectées. Les acteurs malveillants diffusent souvent ces logiciels par le biais de pièces jointes véhiculées par e-mail et contenant des scripts intégrés ou de liens vers des fichiers contenant des scripts qui téléchargent et exécutent des contenus malveillants.
Exploitation d'appareils périphériques vulnérables : les groupes spécialisés dans les rançongiciels exploitent souvent les vulnérabilités non corrigées des pare-feu, des équipements VPN et des services de partage de fichiers pour obtenir un accès non autorisé. Ces faiblesses sont à l'origine de bon nombre d'incidents liés aux rançongiciels.
Suivez les recommandations ci-dessous pour réduire votre exposition aux rançongiciels :
désactivez les mots de passe stockés au sein des navigateurs : les entreprises qui utilisent un gestionnaire de mots de passe doivent empêcher les utilisateurs d'enregistrer leurs identifiants dans les navigateurs web ;
sécurisez les systèmes d'accès à distance : exigez l'authentification multifacteur (MFA, Multi-Factor Authentication) pour RDP, RDWeb, Citrix, les VPN et d'autres services d'accès à distance exposés à Internet ;
sensibilisez les utilisateurs aux logiciels « pirates » : les logiciels illégitimes constituent une source principale pour les voleurs d'informations qui récupèrent des identifiants vendus à des courtiers d'accès initiaux ;
filtrez soigneusement les pièces jointes aux e-mails : bloquez les pièces jointes abritant du contenu actif, comme des macros ou des scripts, afin d'empêcher la transmission des logiciels malveillants ;
bloquez les macros bureautiques à risque : empêchez l'exécution de macros au sein des documents Office identifiés par le mécanisme de protection Mark of the Web (MOTW, la marque du web), qui indique qu'ils ont été téléchargés depuis Internet ;
signalez les abus sur les réseaux de Cloudflare : si vous identifiez une activité suspecte, signalez-la dans le Centre de confiance Cloudflare.
Indicateurs de compromission
La liste de domaines suivante (extraite des journaux des discussions de Black Basta) est associée à divers logiciels malveillants et à des activités d'exfiltration de données. Si certains de ces domaines ont été actifs dans le passé et se révèlent peu susceptibles d'apparaître dans le trafic futur, la réalisation d'une analyse rétrospective peut permettre d'identifier d'éventuelles connexions historiques. La détection d'une activité passée en lien avec ces domaines peut révéler une communication entre un logiciel malveillant et un serveur de Command-and-Control (prise de contrôle directe).
Le tableau inclut certaines des adresses IP les plus importantes et des domaines principaux identifiés dans les discussions divulguées, mais ne propose qu'un échantillon des indicateurs Black Basta suivis par Cloudforce One. Pour la liste complète de ces indicateurs, ainsi que des informations contextuelles supplémentaires, rendez-vous sur la plateforme consacrée aux événements de menace de Cloudforce One.
À propos de Cloudforce One
Cloudflare s'est fixé pour mission de contribuer à bâtir un Internet meilleur. Or, un Internet meilleur ne peut exister que si les forces du bien sont capables de détecter, d'entraver et de détruire les acteurs malveillants qui cherchent à saper la confiance et à manipuler Internet à leurs propres fins, personnelles ou politiques. C'est ici que Cloudforce One entre en jeu : mise en place par Cloudflare, cette équipe dédiée de chercheurs de renommée mondiale dans le domaine des menaces a été chargée de publier des informations sur ces dernières afin d'armer les équipes de sécurité du contexte nécessaire pour prendre des décisions rapides, en toute confiance. Nous identifions les attaques et vous protégeons contre celles-ci grâce à des statistiques dont personne d'autre ne dispose.
Notre visibilité repose avant tout sur le réseau mondial de Cloudflare, l'un des plus vastes au monde, qui couvre près de 20 % d'Internet. Adoptés par des millions d'utilisateurs aux quatre coins d'Internet, nos services nous permettent de disposer d'une visibilité inégalée sur les événements mondiaux, y compris les attaques les plus intéressantes menées sur Internet. Cette position avantageuse permet à Cloudforce One d'exécuter une reconnaissance en temps réel, de perturber les attaques dès leur lancement et de transformer les informations en réussites tactiques.
Profitez des mises à jour de Cloudforce One
Ressources associées
Les rouages de LameDuck : analyse des menaces d'Anonymous Sudan
Rapport sur les menaces
Révéler les opérations de SloppyLemming en Asie du Sud
Rapport sur les menaces
Pics de fraude au fret : les compromissions de la chaîne d'approvisionnement mondiale
Vue d'ensemble de la campagne