L'erreur de Black Basta : exploiter les fuites des discussions du groupe
Présentation consacrée aux menaces — 17 mars 2025
Vue d'ensemble
Black Basta, un célèbre groupe de pirates spécialisés dans les attaques par rançongiciel et lié aux entreprises criminelles Ryuk et Conti, s'est retrouvé exposé lorsqu'une fuite de son serveur de discussion Matrix est apparue sur un canal Telegram. Le serveur de messagerie, hébergé sur le domaine bestflowers247[.]online, a fait l'objet d'une fuite initiée par un utilisateur utilisant le pseudonyme ExploitWhispers. Les fichiers divulgués contenaient des documents JSON détaillant l'horodatage, les informations de l'expéditeur et du destinataire, les identifiants des fils et le contenu des messages. Véritable mine d'informations exploitables sur les opérations du groupe, ces données nous aident à identifier les comptes et les domaines essentiels utilisés par ses membres.
ExploitWhispers expose des comptes et des domaines essentiels suite à la divulgation des historiques de conversation de Black Basta
Les données de discussion divulguées offrent non seulement un aperçu des rouages internes de Black Basta, mais apportent également des éclaircissements sur l'écosystème des rançongiciels dans son ensemble. La possibilité de mieux comprendre comment le groupe évolue au sein de cet écosystème propose un point de vue précieux sur son échelle et ses capacités, ainsi que différentes méthodes disponibles pour évaluer son efficacité et son incidence. L'une des approches consiste à analyser les transactions en cryptomonnaies attribuées au groupe criminel. Kaitlin Martin de Chainalysis, une entreprise spécialisée dans les informations sur la blockchain (blockchain intelligence), a souligné ce point précis concernant la fuite de Black Basta :
« Les données en chaîne et hors chaîne contenues au sein des discussions de Black Basta ayant fuité montrent de quelle manière le groupe s'appuie sur divers services web, services tiers et forums du dark web pour ses opérations. Les paiements effectués à ces services, non seulement par Black Basta, mais également par d'autres groupes adeptes des attaques par rançongiciel, démontrent à quel point ces services font partie de l'infrastructure essentielle de l'écosystème des rançongiciels. »
En examinant les transactions financières et les dépendances opérationnelles, les chercheurs peuvent mieux comprendre l'écosystème au sein duquel ces groupes opèrent et évoluent.
Un aspect essentiel de cet écosystème réside dans la manière dont les groupes de pirates spécialisés dans les rançongiciels sélectionnent leurs victimes. S'il est vrai que certaines régions du monde et certains secteurs sont affectés de manière disproportionnée, il semble que les gangs de criminels adeptes des attaques par rançongiciel ne sélectionnent pas au hasard des victimes spécifiques, mais qu'ils choisissent leurs victimes au sein d'un ensemble de machines déjà compromises. Les gangs de pirates informatiques spécialisés dans les rançongiciels se coordonnent avec des équipes criminelles qui infectent des milliers de machines chaque jour, puis passent en revue la liste des systèmes compromis pour identifier ceux qui appartiennent à des entreprises bien financées.
Dans de nombreux cas, les groupes de pirates adeptes des rançongiciels achètent l'accès initial aux hôtes victimes auprès de courtiers qui passent au peigne fin d'énormes ensembles d'identifiants échangés et vendus sur les marchés et les forums criminels. Ces identifiants, collectés par des voleurs d'informations comme LummaC2, appartiennent souvent à des comptes de systèmes d'accès à distance tels que RDWeb, Citrix et les VPN basés sur navigateur. La compréhension de ce processus de sélection souligne l'importance d'une sécurité robuste des identifiants, de la segmentation du réseau et d'une surveillance proactive des menaces pour perturber les opérations des rançongiciels avant qu'elles ne deviennent de véritables attaques.
Avant la fuite, Black Basta a lancé des opérations de rançongiciels très efficaces, qui lui ont permis de compromettre de nombreuses entreprises et d'infliger des millions de dollars aux entreprises, tant en termes de dégâts occasionnés que de rançons versées. Les données de discussion divulguées fournissent des informations sur les tactiques, techniques et procédures (TTP) du groupe, tout en proposant une visibilité sur ses opérations. Grâce à ces données, Cloudflare a suivi l'activité de Black Basta et a découvert des informations uniques sur son infrastructure et ses méthodes d'attaque. Les entreprises peuvent tirer parti de ces informations pour renforcer leur compréhension des gangs de pirates spécialisés dans les attaques par rançongiciel comme Black Basta afin d'améliorer leurs défenses et d'anticiper proactivement leurs prochaines attaques, en réduisant ainsi le risque de se retrouver victimes d'attaques à l'avenir.
Cloudforce One dissèque les TTP de Black Basta
Lorsque Cloudforce One a obtenu le fichier bestflowers.json, nous avons d'abord énuméré toutes les infrastructures référencées dans les discussions, en nous concentrant sur celles pour lesquelles nous disposions d'une visibilité unique. Au cours de ce processus, nous avons identifié les techniques employées par Black Basta pour faciliter l'exfiltration de données et dissimuler son infrastructure distante. Nous avons analysé cette infrastructure en profondeur afin d'évaluer son impact potentiel. Notre enquête a confirmé que bon nombre des domaines mentionnés dans les discussions n'ont pas été utilisés. Cette information suggère donc qu'ils ont été créés à titre préventif pour des tâches opérationnelles qui ne se sont jamais concrétisées.
Black Basta a suivi une procédure cohérente pour créer ses comptes auprès de fournisseurs d'infrastructure. Les membres du groupe partageaient régulièrement des informations sur la création de comptes dans le fil de discussion, notamment des noms, des adresses postales et des identifiants de connexion. Ils utilisaient des domaines appartenant à des entreprises pour leurs adresses e-mail, plutôt que de passer par des services de courrier électronique gratuits. Pour gérer leur infrastructure, les pirates se connectaient depuis différents réseaux et se reposaient parfois (sans qu'il s'agisse d'un schéma constant) sur les services d'anonymisation. Bien que leurs mots de passe soient raisonnablement complexes, les utilisateurs réutilisaient souvent les mêmes dans plusieurs comptes.
Une fois l'enquête sur l'infrastructure de Black Basta terminée, nous avons examiné en détail les discussions afin d'analyser leurs méthodes d'accès initial, leurs tactiques post-exploitation et leurs stratégies de négociation. Black Basta a activement tiré parti d'un logiciel malveillant précurseur, comme Qakbot, pour infiltrer un grand nombre de machines à travers le monde. Après avoir obtenu l'accès, le groupe a identifié des cibles de grande valeur par l'intermédiaire de tâches de post-exploitation, notamment à l'aide de techniques bien connues telles que l'installation de balises persistantes, l'énumération de répertoires et l'escalade des privilèges.
Dans certains cas, les membres de Black Basta ont pénétré des systèmes en mettant en œuvre d'autres méthodes impliquant des identifiants collectés par un voleur d'informations. Cloudforce One a identifié certains des comptes associés au sein d'ensembles d'identifiants échangés et partagés librement sur divers canaux Telegram dédiés aux journaux utilisés par ces pirates informatiques. L'image ci-dessous montre un exemple de message Telegram impliquant l'un de ces comptes compromis.
Compte RDWeb compromis d'une entreprise américaine identifiée par Black Basta
La dépendance de Black Basta envers le vol d'identifiants et les logiciels malveillants souligne la nature interconnectée de l'écosystème des rançongiciels, qui repose non seulement sur l'accès initial, mais également sur l'infrastructure financière qui soutient ses opérations. Le versement des rançons s'effectue en cryptomonnaies, principalement en bitcoins. Les discussions qui ont fuité contiennent de nombreuses adresses de plateformes de cryptomonnaies qui peuvent servir de destinations pour les paiements. Or, ces informations peuvent être recoupées avec d'autres adresses afin d'analyser l'empreinte financière et l'impact de Black Basta.
Le groupe fait également référence aux cryptomonnaies en ce qui concerne l'organisation des paiements des infrastructures. Les intervenants y précisent les montants et proposent parfois plusieurs options de paiement en cryptomonnaies. Cette approche reflète les pratiques observées lors des fuites de discussions Conti survenues en 2022, au sein desquelles les membres de l'équipe demandaient régulièrement aux responsables d'effectuer des paiements en cryptomonnaies servant à financer et utiliser des serveurs privés virtuels, des noms de domaine et des services de VPN.
L'enquête menée par Cloudforce One sur les données divulguées au cours de la fuite du serveur de discussion de Black Basta a révélé des secrets professionnels intéressants et des informations uniques concernant Cloudflare. Elle a confirmé l'utilisation de logiciels malveillants précurseurs par le groupe, le traitement stratégique des identifiants, ainsi que la capacité de ce dernier à infiltrer les réseaux, à maintenir une persistance et à cibler avec succès des victimes de grande valeur. L'analyse des données de chat concernées par la fuite nous a également permis d'obtenir des détails supplémentaires sur le rôle essentiel que jouent les cryptomonnaies dans le financement des opérations du groupe et sur sa dépendance à l'encontre de divers services web et tiers, ainsi qu'à l'égard des forums du Dark Web. Cette enquête met en lumière la complexité croissante de l'écosystème des rançongiciels et souligne la nécessité de mettre en place des protections robustes (de la sécurisation des points d'accès initiaux à la surveillance des transactions financières) pour lutter efficacement contre ces acteurs malveillants, persistants et capables de s'adapter.
Comment vous protéger
De nombreux journaux et articles de blog proposent diverses recommandations pour l'atténuation des attaques par rançongiciel, mais ils ne parviennent souvent pas à s'attaquer aux causes premières de ces incidents. Les groupes spécialisés dans les rançongiciels obtiennent généralement un accès initial à l'aide de plusieurs méthodes clés :
Vol et revente d'identifiants : les voleurs d'informations récupèrent des identifiants d'accès à distance, qui sont ensuite vendus à des courtiers d'accès initiaux. Ces courtiers les vendent à leur tour à des gangs de criminels adeptes des attaques par rançongiciel.
Déploiement de logiciels malveillants précurseurs : les pirates informatiques diffusent divers logiciels malveillants, comme Qakbot et ICedID, à l'aide de campagnes de spam généralisées. Ils identifient ensuite les cibles de grande valeur contre lesquelles envoyer leurs rançongiciels parmi les machines infectées. Les acteurs malveillants diffusent souvent ces logiciels par le biais de pièces jointes véhiculées par e-mail et contenant des scripts intégrés ou de liens vers des fichiers contenant des scripts qui téléchargent et exécutent des contenus malveillants.
Exploitation d'appareils périphériques vulnérables : les groupes spécialisés dans les rançongiciels exploitent souvent les vulnérabilités non corrigées des pare-feu, des équipements VPN et des services de partage de fichiers pour obtenir un accès non autorisé. Les incidents liés aux rançongiciels découlent souvent de ces lacunes en matière de sécurité, qui permettent aux acteurs malveillants d'infiltrer les réseaux et de déployer leurs contenus malveillants.
Suivez les recommandations ci-dessous pour réduire votre exposition aux rançongiciels :
désactivez les mots de passe stockés au sein des navigateurs : les entreprises qui utilisent un gestionnaire de mots de passe doivent empêcher les utilisateurs d'enregistrer leurs identifiants dans les navigateurs web ;
sécurisez les systèmes d'accès à distance : exigez l'authentification multifacteur (MFA, Multi-Factor Authentication) pour RDP, RDWeb, Citrix, les VPN et d'autres services d'accès à distance exposés à Internet ;
sensibilisez les utilisateurs aux logiciels « pirates » : les logiciels illégitimes constituent une source principale pour les voleurs d'informations qui récupèrent des identifiants vendus à des courtiers d'accès initiaux ;
filtrez soigneusement les pièces jointes aux e-mails : envisagez le déploiement d'une robuste solution de sécurité du courrier électronique, capable de bloquer les pièces jointes dangereuses abritant du contenu actif, comme des macros ou des scripts, afin d'empêcher la transmission des logiciels malveillants. La solution Cloudflare Email Security vous protège contre les vecteurs d'infection véhiculés par e-mail et couramment utilisés par les groupes de pirates spécialisés dans les rançongiciels ;
bloquez les macros bureautiques à risque : empêchez l'exécution de macros au sein des documents Office identifiés par le mécanisme de protection Mark of the Web (MOTW, la marque du web), qui indique qu'ils ont été téléchargés depuis Internet ;
signalez les abus sur les réseaux de Cloudflare : si vous identifiez une activité suspecte, signalez-la dans le Centre de confiance Cloudflare.
Indicateurs de compromission
La liste de domaines suivante (extraite des journaux des discussions de Black Basta) est associée à divers logiciels malveillants et à des activités d'exfiltration de données. Si certains de ces domaines ont été actifs dans le passé et se révèlent peu susceptibles d'apparaître dans le trafic futur, la réalisation d'une analyse rétrospective peut permettre d'identifier d'éventuelles connexions historiques. La détection d'une activité passée en lien avec ces domaines peut révéler une communication entre un logiciel malveillant et un serveur de Command-and-Control (prise de contrôle directe).
Le tableau inclut certaines des adresses IP les plus importantes et des domaines principaux identifiés dans les discussions divulguées, mais ne propose qu'un échantillon de la très longue liste d'indicateurs d'activités liées à Black Basta suivis par Cloudforce One. Pour plus d'informations sur la marche à suivre pour accéder à la liste complète de ces indicateurs, en plus d'un contexte exploitable supplémentaire, rendez-vous sur notre plateforme d'événements de menaces, accessible à tous les clients de Cloudforce One.
À propos de Cloudforce One
Cloudflare s'est fixé pour mission de contribuer à bâtir un Internet meilleur. Or, un Internet meilleur ne peut exister que si les forces du bien sont capables de détecter, d'entraver et de détruire les acteurs malveillants qui cherchent à saper la confiance et à manipuler Internet à leurs propres fins, personnelles ou politiques. C'est ici que Cloudforce One entre en jeu : mise en place par Cloudflare, cette équipe dédiée de chercheurs de renommée mondiale dans le domaine des menaces a été chargée de publier des informations sur ces dernières afin d'armer les équipes de sécurité du contexte nécessaire pour prendre des décisions rapides, en toute confiance. Nous identifions les attaques et vous protégeons contre celles-ci grâce à des statistiques dont personne d'autre ne dispose.
Notre visibilité repose avant tout sur le réseau mondial de Cloudflare, l'un des plus vastes au monde, qui couvre près de 20 % d'Internet. Adoptés par des millions d'utilisateurs aux quatre coins d'Internet, nos services nous permettent de disposer d'une visibilité inégalée sur les événements mondiaux, y compris les attaques les plus intéressantes menées sur Internet. Cette position avantageuse permet à Cloudforce One d'exécuter une reconnaissance en temps réel, de perturber les attaques dès leur lancement et de transformer les informations en réussites tactiques.
Profitez des mises à jour de Cloudforce One
Ressources associées
Les rouages de LameDuck : analyse des menaces d'Anonymous Sudan
Rapport sur les menaces
Révéler les opérations de SloppyLemming en Asie du Sud
Rapport sur les menaces
Pics de fraude au fret : les compromissions de la chaîne d'approvisionnement mondiale
Vue d'ensemble de la campagne