Un divulgateur inconnu a publié ce qu’il prétend être une archive de journaux de discussion matriciels internes appartenant à l’opération de ransomware Black Basta.
ExploitWhispers, la personne qui a téléchargé les messages volés sur la MÉGA plate-forme de partage de fichiers, les a depuis supprimés et téléchargés sur un canal Telegram dédié.
Il n’est pas encore clair si ExploitWhispers est un chercheur en sécurité qui a eu accès au serveur de discussion interne du gang ou un membre mécontent.
Bien qu’ils n’aient jamais partagé la raison de cette décision, la société de renseignement sur les cybermenaces PRODAFT a déclaré aujourd’hui que la fuite pourrait résulter directement des attaques présumées du gang de ransomwares ciblant les banques russes.
« Dans le cadre de notre surveillance continue, nous avons observé que BLACKBASTA (Mante vengeresse) était pour la plupart inactive depuis le début de l’année en raison de conflits internes. Certains de ses opérateurs ont escroqué les victimes en collectant des paiements de rançon sans fournir de déchiffreurs fonctionnels », a déclaré PRODAFT.
« Le 11 février 2025, une fuite majeure a révélé les journaux de discussion matriciels internes de BLACKBASTA. Le fuiteur a affirmé avoir publié les données parce que le groupe ciblait les banques russes. Cette fuite ressemble beaucoup aux fuites Conti précédentes. »
Les archives divulguées contiennent des messages échangés dans les salons de discussion internes de Black Basta entre le 18 septembre 2023 et le 28 septembre 2024.
L’analyse des messages par Breachtrace montre qu’ils contiennent un large éventail d’informations, y compris des modèles de phishing et des e-mails auxquels les envoyer, des adresses de crypto-monnaie, des pertes de données, les informations d’identification de la victime et la confirmation des tactiques dont nous avons déjà parlé.
Les discussions divulguées contiennent également 367 liens ZoomInfo uniques, qui indiquent le nombre probable d’entreprises ciblées au cours de cette période. Les gangs de ransomwares utilisent couramment le site ZoomInfo pour partager des informations sur une entreprise ciblée, en interne ou avec les victimes pendant les négociations.
ExploitWhispers a également partagé des informations sur certains membres du gang de ransomwares Black Basta, notamment Lapa (l’un des administrateurs de l’opération), Cortes (un acteur de la menace lié au groupe Qakbot), YY (l’administrateur principal de Black Basta) et Trump (alias GG et AA), le patron du groupe (Oleg Nefedov).
Qui est Black Basta?
L’opération Black Basta Ransomware-as-a-Service (RaaS) est apparue en avril 2022 et a fait de nombreuses victimes très médiatisées dans le monde entier, y compris des entreprises de santé et des entrepreneurs gouvernementaux.
Parmi leurs victimes figurent l’entrepreneur allemand de la défense Rheinmetall, la division européenne de Hyundai, le groupe BT (anciennement British Telecom), le géant américain de la santé Ascension, l’entrepreneur gouvernemental ABB, l’American Dental Association, la société britannique d’externalisation technologique Capita, la Bibliothèque publique de Toronto et Pages Jaunes Canada.
Comme l’ont révélé la CISA et le FBI dans un rapport conjoint publié en mai dernier, les affiliés de Black Basta ont violé plus de 500 organisations entre avril 2022 et mai 2024.
Selon une étude conjointe de Corvus Insurance et Elliptic, le gang de ransomwares a également collecté environ 100 millions de dollars de rançons auprès de plus de 90 victimes jusqu’en novembre 2023.
En février 2022, un chercheur en sécurité ukrainien a également divulgué plus de 170 000 conversations de discussion internes et le code source du cryptographe Conti ransomware en ligne après que le tristement célèbre syndicat de la cybercriminalité Conti basé en Russie se soit rangé du côté de la Russie après l’invasion de l’Ukraine.