Au cours de l'année et demie écoulée, la campagne de ransomware Black Basta, que les experts attribuent à des personnes peut être liées au tristement célèbre gang Conti, a collecté plus de 100 millions de dollars, et a infecté 329 victimes connues. Selon un rapport publié par Elliptic, spécialisé dans l’analyse des cryptomonnaies, la stratégie de Black Basta présente des similarités avec Conti notamment sur les cibles visées. Elles sont pour les deux tiers ont concerné des entreprises américaines dans le secteur manufacturier, de l’ingéniérie, de la construction et du retail.
Un minimum de 107 millions de dollars d’extorsion
D'autres secteurs ont également été visés, notamment des cabinets d'avocats, des agences immobilières, etc. En étudiant les connexions de la blockchain entre les crypto-monnaies utilisées pour le paiement des rançons en bitcoins, Elliptic, de concert avec Corvus Insurance, a découvert des modalités typiques. Les chercheurs ont ainsi identifié plus de 90 rançons payées à Black Basta, d'une valeur moyenne de 1,2 million de dollars chacune. Au total, le groupe a reçu 107 millions de dollars en paiement de rançons. Le rapport précise que ce chiffre est probablement « sous-estimé », car les chercheurs pensent ne pas avoir identifié tous les paiements. Les deux victimes les plus connues sont Capita, une entreprise spécialisée dans l'externalisation technologique ayant d'importants contrats avec le gouvernement britannique, et ABB, une entreprise d'automatisation industrielle.
Le rapport note qu'aucune de ces deux entreprises n'a divulgué de paiement de rançon. Capita n'a pas répondu immédiatement aux demandes de commentaires ; ABB a reconnu dans un communiqué avoir subi un « incident de sécurité », mais n'a pas précisé s'il s'agissait d'un ransomware. « En mai 2023, ABB a eu connaissance d'un incident de sécurité informatique ayant un impact sur certains systèmes informatiques de l'entreprise. À la suite de cet incident, ABB a ouvert une enquête, notifié certaines autorités chargées de l'application de la loi et de la protection des données, et travaillé avec des experts de premier plan pour déterminer la nature et la portée de l'incident », selon une déclaration de groupe envoyée par son responsable des relations avec les médias. « ABB a également pris des mesures pour contenir l'incident et renforcer la sécurité de ses systèmes. Sur la base de son enquête, ABB a déterminé qu'un tiers non autorisé a accédé à certains systèmes d'ABB et a exfiltré certaines données. L’entreprise travaille à l'identification et à l'analyse de la nature et de l'étendue des données affectées, et continue d'évaluer ses obligations en matière de notification ».
Un vecteur de Qakbot
Black Basta est essentiellement distribué par le malware Qakbot, qui fonctionne par le biais de campagnes de phishing. Les chercheurs ont indiqué que des pourcentages sur les sommes récoltées avaient apparemment été versés aux « opérateurs » de Black Basta - ce qui laisse supposer qu'il s'agit d'un ransomware as a service - et que des paiements similaires ont été versés à Qakbot pour la participation de ce groupe aux attaques. Selon le rapport, la perturbation du réseau de Qakbot, en août, pourrait expliquer en partie la « nette diminution » des attaques de Black Basta ces derniers mois.
Les chercheurs ont également trouvé des preuves de liens entre les crypto-monnaies utilisées pour les paiements de Black Basta et celles du gang Conti, un groupe de cybercriminels basé en Russie qui serait liée au gouvernement de ce pays. Les chercheurs pensent aussi que les paiements de rançon sont blanchis par l'intermédiaire de la bourse russe de crypto-monnaies connue sous le nom de Garantex. Ils notent que cette dernière a été sanctionnée en avril 2022 par le gouvernement américain pour ses liens commerciaux avec des places de marché utilisant le darknet.