Une fuite massive de Black Basta révèle le fonctionnement interne d'un géant du ransomware

Dans un développement rare et surprenant, une mine de journaux de discussion internes du gang de ransomware Black Basta a été divulguée en ligne, offrant un aperçu sans précédent des coulisses de l'une des organisations cybercriminelles les plus dangereuses opérant aujourd'hui. La fuite est déjà comparée aux tristement célèbres fuites de Conti début 2022, qui ont exposé les opérations internes d'un autre syndicat notoire de ransomware.

Cette dernière révélation, dévoilée publiquement le 20 février 2025, émane d'un lanceur d'alerte connu sous le nom d'ExploitWhispers, qui aurait publié un fichier JSON de 47 Mo contenant plus de 200 000 messages de chat échangés par les membres de Black Basta. Les chats couvrent une année entière d'activité, de septembre 2023 à septembre 2024, et sont désormais méticuleusement analysés par des chercheurs en cybersécurité du monde entier.

Pourquoi Black Basta a-t-il été exposé ?

Selon les messages partagés avec la fuite, la motivation de cette révélation pourrait provenir de la décision de Black Basta de cibler les banques russes, une décision qui, dans le monde de la cybercriminalité russophone, est souvent considérée comme une erreur impardonnable. Si cela s'avère exact, cela expliquerait pourquoi un initié a décidé de divulguer des informations aussi sensibles.

De plus, la société de renseignement sur les menaces Prodaft note que Black Basta est resté pratiquement inactif depuis le début de l’année 2025, en raison de conflits internes présumés. Alors que le chaos se prépare dans les coulisses, la fuite ajoute une couche supplémentaire d’incertitude quant à l’avenir du groupe.

Ce que révèlent les conversations divulguées

La fuite n'est pas seulement un aperçu fascinant des personnalités et des conversations quotidiennes des opérateurs de Black Basta : c'est un modèle de la manière dont le gang mène ses attaques, sélectionne ses cibles et exploite les vulnérabilités.

Les sociétés de sécurité VulnCheck et Qualys ont déjà publié leurs premières conclusions, en se concentrant sur les détails techniques cachés dans les journaux. Selon l'analyse de VulnCheck, les conversations mentionnent 62 CVE (vulnérabilités et expositions courantes) uniques, dont certaines ont été évoquées dans les jours qui ont suivi leur divulgation publique et quelques-unes même avant leur publication officielle.

Plus inquiétant encore, les logs suggèrent que Black Basta ne s'appuie pas uniquement sur des exploits connus du public. Il existe des preuves évidentes que le groupe dispose des ressources nécessaires pour développer de nouveaux exploits et a envisagé d'acheter des vulnérabilités exclusives à d'autres acteurs malveillants.

Qualys est allé encore plus loin en compilant une liste de priorités pour les défenseurs, notamment :

  • Top 20 des CVE nécessitant un correctif immédiat.
  • Top 10 des erreurs de configuration fréquemment exploitées par Black Basta.
  • Une annexe complète de toutes les vulnérabilités mentionnées dans la fuite.

Pour les équipes de sécurité, cette fuite offre une opportunité rare de comprendre exactement quels points faibles sont les plus attrayants pour les opérateurs de ransomware et de hiérarchiser les défenses en conséquence.

Étude de cas sur les opérations de ransomware

Au-delà des vulnérabilités, des chercheurs comme Kela et BushidoToken ont analysé le mode opératoire du groupe. Un exemple détaillé concerne une attaque de 2023 contre une entreprise brésilienne, qui a commencé par le vol d'identifiants via un logiciel malveillant de vol d'informations. En seulement deux jours, Black Basta avait compromis le réseau, volé des données sensibles et déployé un ransomware. Les méthodes du groupe (accès initial via des identifiants compromis, déplacement latéral rapide, exfiltration de données et extorsion publique) illustrent une approche très raffinée et à l'échelle industrielle de l'extorsion informatique.

Ces informations confirment que Black Basta fonctionne comme une entreprise bien huilée, profilant les victimes à l’aide d’outils comme ZoomInfo pour évaluer les montants des rançons et les tactiques de pression.

Conflit interne et crise de conscience

L’une des révélations les plus inattendues de cette fuite concerne le côté humain des attaquants. Au cours de leur attaque de 2024 contre Ascension Health, les messages de chat révèlent un malaise croissant au sein du groupe à mesure que les conséquences de leurs actions sont devenues évidentes.

Face à la possibilité de nuire aux patients, notamment aux patients en soins intensifs, les membres ont débattu de la question de savoir s'il fallait fournir un décrypteur gratuit et supprimer les données volées. Les commentaires de personnalités clés comme « tinker » et « gg » montrent une conscience aiguë du fait que l'arrêt des activités d'un hôpital pourrait passer de la cybercriminalité à des accusations de terrorisme si des vies étaient perdues.

Dans un geste rare, Black Basta a non seulement fourni une clé de décryptage gratuite, mais aurait également supprimé les données volées, signalant un moment inhabituel d'instinct de préservation - ou peut-être même de moralité.

Black Basta est-il au bord de l’effondrement ?

Avec tous ces bouleversements, certains experts spéculent que le groupe pourrait suivre le même chemin que Conti, qui s'est dissous après ses propres fuites internes et a refait surface sous de nouveaux noms. Plusieurs commentaires divulgués suggèrent que Black Basta envisageait déjà un changement de nom complet en raison de la pression croissante des forces de l'ordre et du public.

Bien que cela reste pour l'instant une spéculation, l'idée que Black Basta disparaisse et réapparaisse sous un autre alias en 2025 devient de plus en plus plausible chaque jour qui passe.

Ce que cela signifie pour les défenseurs

Cette fuite est bien plus qu’un simple drame de cybercriminalité : c’est un renseignement exploitable.
Pour les équipes de sécurité, la fuite de Black Basta offre :

  • Corrections de vulnérabilités prioritaires basées sur une exploitation réelle.
  • Aperçu des délais et des méthodes d’attaque.
  • Compréhension de la dynamique interne du groupe qui pourrait signaler des changements dans le paysage des ransomwares.

Les entreprises doivent agir dès maintenant pour examiner les CVE et les erreurs de configuration révélées par la fuite, renforcer les défenses et rester vigilantes. Si Black Basta est peut-être confronté à des difficultés internes, le ransomware dans son ensemble reste une menace persistante et évolutive.

Réflexions finales

La fuite de Black Basta est à la fois un avertissement et un avantage stratégique pour les défenseurs de la cybersécurité. Elle confirme que même les gangs de ransomware les plus sophistiqués ne sont pas à l’abri des conflits internes, des erreurs humaines et de l’exposition.

Mais ne vous y trompez pas : que Black Basta se dissolve, change de nom ou poursuive ses activités, les méthodes et les vulnérabilités révélées dans ces conversations alimenteront les opérations de ransomware bien au-delà de 2025.

La meilleure défense aujourd’hui est la sensibilisation, la préparation et une action rapide.

Par Zane
March 7, 2025
Computer Security
Français
March 7, 2025
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.