BlackBastaGPT : l'IA décrypte les secrets d'un gang de ransomware
Imaginez : des hackers dévoilent des millions de messages internes d'un gang de ransomware, révélant leurs stratégies, leurs failles et même leurs disputes internes. C'est exactement ce qui s'est passé avec Black Basta, et grâce à l'intelligence artificielle, on peut désormais analyser ces informations comme jamais auparavant.
L'histoire incroyable de la fuite Black Basta
Tout a commencé le 11 février 2025, avec une fuite massive de données attribuée à un individu se faisant appeler ExploitWhispers. Plus d'un million de messages internes du groupe Black Basta ont été rendus publics.
Cette fuite couvre 13 mois de communication (septembre 2023 à septembre 2024) et offre un aperçu sans précédent des opérations du groupe. On y découvre des détails croustillants sur leur fonctionnement interne.
- Des liens ZoomInfo vers des cibles potentielles
- Des adresses de portefeuilles cryptomonnaies
- Des modèles de phishing
- Des conversations entre les membres clés
La motivation d'ExploitWhispers ? Une vengeance ! Il aurait agi en représailles contre le ciblage de banques russes par Black Basta, imitant ainsi la fuite Conti de 2022.
Rencontrez les acteurs clés (et un mineur !)
La fuite révèle les rôles de plusieurs membres importants, dont :
- Trump (Oleg Nefedov, le présumé leader)
- YY (l'administrateur principal)
- Cortes (un acteur lié à Qakbot)
Le plus choquant ? Un membre aurait affirmé avoir seulement 17 ans ! Cela met en lumière la diversité des profils au sein de ces réseaux criminels.
BlackBastaGPT : l'IA au service de la cybersécurité
Face à cette masse d'informations, Hudson Rock a créé BlackBastaGPT, un chatbot alimenté par l'IA. Ce formidable outil permet aux chercheurs de poser des questions en langage naturel sur les opérations de Black Basta.
- "Quelles étaient les méthodes d'accès privilégiées par Black Basta ?"
- "Comment calculaient-ils les montants des rançons ?"
BlackBastaGPT répond directement à partir des logs, offrant des informations précieuses. Par exemple, le groupe utilisait ZoomInfo pour estimer les revenus des victimes et adapter la rançon au "flux de trésorerie annuel cumulatif".
"Ce n'est pas seulement une question d'accès aux données, c'est aussi une question de contextualisation des éléments humains de la cybercriminalité." Alon Gal, Hudson Rock
Leurs tactiques, techniques et procédures (TTP) décryptées
BlackBastaGPT révèle les méthodes employées par le gang :
- Priorisation des failles: VPN, serveurs RDP et hyperviseurs ESXi non patchés étaient des cibles de choix. Plus de 380 liens ZoomInfo prouvent une reconnaissance minutieuse des victimes.
- Adaptation de l'arsenal: Qakbot et Cobalt Strike étaient leurs outils de prédilection, mais ils ont aussi testé de nouveaux logiciels malveillants comme Brute Ratel pour échapper à la détection.
- Gestion financière: Les messages montrent des stratégies de blanchiment de Bitcoin et des conflits de partage des bénéfices entre les affiliés.
L'analyse de ces TTP est cruciale pour renforcer les défenses. L'FBI et la CISA ont déjà alerté sur les liens de Black Basta à plus de 500 violations et à plus de 100 millions de dollars de pertes.
Quelles leçons pour les entreprises ?
La fuite et l'analyse par BlackBastaGPT offrent des enseignements précieux aux entreprises :
- Renforcez la sécurité de vos accès distants.
- Mettez en place une authentification à plusieurs facteurs (MFA).
- Surveillez les indicateurs de compromission (IoC) comme AntispamConnectUS.exe.
BlackBastaGPT représente une avancée majeure dans la lutte contre le ransomware. En transformant des données brutes en intelligence exploitable, cet outil permet aux organisations d'anticiper les attaques plutôt que de simplement réagir. L'ère de l'IA en cybersécurité est bel et bien arrivée.
