Cyber threats
Barometer

Le 11 février 2025, une fuite importante de messages internes a exposé les rouages du groupe de ransomware Black Basta. Publiés anonymement sur Telegram, ces échanges internes, couvrant une période d’un an, fournissent un aperçu inédit des tactiques, techniques et procédures (TTP) du groupe. Cet événement marque un tournant dans la lutte contre la cybercriminalité, offrant aux analystes cybersécurité des informations précieuses sur les méthodes de fonctionnement d’un des groupes les plus actifs de la sphère ransomware.

L’analyse des documents divulgués met en lumière plusieurs éléments clés, notamment la sélection des cibles. Black Basta privilégiait des entreprises à forte rentabilité dans les secteurs financier, juridique et de la santé, mais ciblait également des infrastructures critiques et des sociétés technologiques. Parmi les organisations visées figurent Hyundai Motor Europe (automobile), Rheinmetall (défense), Capita (services informatiques) et BT Group (télécommunications). Ces choix stratégiques démontrent une volonté d’exploiter de multiples secteurs pour maximiser les gains financiers.

Les messages révèlent également que le groupe s’appuyait sur des outils spécialisés tels que Cobalt Strike, tout en exploitant des vulnérabilités connues dans des technologies critiques comme Citrix, Fortinet et Microsoft. Une attention particulière était portée aux failles récemment divulguées, permettant aux attaquants de maximiser leur impact avant l’application des correctifs. Cette approche proactive souligne la sophistication technique de Black Basta et sa capacité à adapter rapidement ses méthodes aux opportunités offertes par les vulnérabilités émergentes.

Les échanges internes mettent également en évidence des tensions croissantes au sein du groupe. Des divergences stratégiques sur les modes d’attaque et la répartition des rançons y sont documentées. Par exemple, certains opérateurs ont détourné des paiements de rançon sans fournir les outils de déchiffrement aux victimes. Ces conflits internes rappellent ceux observés au sein du groupe Conti, dont les fuites de communications avaient précipité le déclin. Il est néanmoins trop tôt pour dire si Black Basta connaîtra le même sort ou s’il se restructurera.

Les Tactics, Techniques & Procedures (TTP) désignent l’ensemble des méthodes utilisées par un acteur malveillant pour mener une attaque, depuis l’initialisation jusqu’à l’exécution de ses objectifs.

• Les tactiques représentent le « pourquoi » d’une attaque, soit les objectifs recherchés par l’adversaire (ex : persistance, mouvement latéral, exfiltration de données).
• Les techniques décrivent le « comment », c’est-à-dire les moyens utilisés pour atteindre ces objectifs (ex : vol d’identifiants, exploitation de vulnérabilités, abus d’outils système).
• Les procédures détaillent les implémentations spécifiques d’une technique observées dans des attaques réelles.

Les TTP sont un concept central en Threat Intelligence, utilisé dans plusieurs modèles comme la Pyramid of Pain, où elles sont considérées comme l’indicateur le plus difficile à modifier pour un attaquant. MITRE ATT&CK s’appuie sur ce principe pour structurer et classifier les comportements adverses en un référentiel détaillé.

Dans le cas de Black Basta, la fuite des échanges internes a mis en évidence plusieurs TTP, notamment l’exploitation de vulnérabilités zero-click (Microsoft Outlook, pare-feux Juniper SRX) pour compromettre des systèmes sans interaction utilisateur, l’usage de Mimikatz pour l’extraction de mots de passe et l’escalade de privilèges, ainsi que l’emploi de Cobalt Strike et de proxies VPN pour assurer persistance et mouvement latéral au sein des réseaux compromis.

Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.

Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.