{"id":1556514,"date":"2025-02-26T14:29:28","date_gmt":"2025-02-26T16:29:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-journaux-de-discussion-black-basta-ransomware-divulgues-revelent-des-travaux-internes-et-des-conflits-internes\/"},"modified":"2025-02-26T14:29:33","modified_gmt":"2025-02-26T16:29:33","slug":"les-journaux-de-discussion-black-basta-ransomware-divulgues-revelent-des-travaux-internes-et-des-conflits-internes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-journaux-de-discussion-black-basta-ransomware-divulgues-revelent-des-travaux-internes-et-des-conflits-internes\/","title":{"rendered":"Les journaux de discussion Black Basta Ransomware divulgu\u00e9s r\u00e9v\u00e8lent des travaux internes et des conflits internes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-journaux-de-discussion-Black-Basta-Ransomware-divulgues-revelent-des.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Plus d&#8217;un an de journaux de chat internes d&#8217;un gang de ransomware connu sous le nom de Black Basta a \u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/x.com\/PRODAFT\/status\/1892636346885235092\" target=\"_blank\">Publi\u00e9 en ligne<\/a> dans une fuite qui offre une visibilit\u00e9 sans pr\u00e9c\u00e9dent dans leurs tactiques et leurs conflits internes entre ses membres.<\/p>\n<p>Les conversations en langue russe sur la plate-forme de messagerie matricielle entre le 18 septembre 2023 et le 28 septembre 2024 ont \u00e9t\u00e9 initialement divulgu\u00e9es le 11 f\u00e9vrier 2025 par une personne qui passe par la poign\u00e9e <a rel=\"noopener nofollow\" href=\"https:\/\/t.me\/exploitwhispers\" target=\"_blank\">Exploits<\/a>qui a affirm\u00e9 avoir publi\u00e9 les donn\u00e9es parce que le groupe visait les banques russes. L&#8217;identit\u00e9 du fuite reste un myst\u00e8re.<\/p>\n<p>Black Basta a d&#8217;abord \u00e9t\u00e9 sous les projecteurs en avril 2022, en utilisant le Qakbot d\u00e9sormais plus d\u00e9finitif (AKA QBOT) comme v\u00e9hicule de livraison. Selon un avis publi\u00e9 par le gouvernement am\u00e9ricain en mai 2024, l&#8217;\u00e9quipage \u00e0 double extorsion aurait cibl\u00e9 plus de 500 entit\u00e9s d&#8217;industrie priv\u00e9e et d&#8217;infrastructures critiques en Am\u00e9rique du Nord, en Europe et en Australie.<\/p>\n<p>Selon l&#8217;assurance elliptique et Corvus, le groupe de ransomware prolifique aurait rapport\u00e9 au moins 107 millions de dollars en paiements de ran\u00e7on de Bitcoin de plus de 90 victimes d&#8217;ici la fin de 2023.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 suisse Prodaft a d\u00e9clar\u00e9 que l&#8217;acteur de menace financi\u00e8rement motiv\u00e9, \u00e9galement suivi comme des mantes vengeantes, \u00e9tait &#8220;principalement inactive depuis le d\u00e9but de l&#8217;ann\u00e9e&#8221; en raison de conflits internes, certains de ses op\u00e9rateurs arnaminaient les victimes .<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>De plus, les membres cl\u00e9s du syndicat de cybercriminalit\u00e9 li\u00e9 \u00e0 la Russie auraient saut\u00e9 le navire au cactus (alias nourrissant Mantis) et les op\u00e9rations des ransomwares d&#8217;Akira.<\/p>\n<p>&#8220;Le conflit interne a \u00e9t\u00e9 motiv\u00e9 par &#8216;Tramp&#8217; (Larva-18), un acteur de menace connu qui exploite un r\u00e9seau de spam responsable de la distribution de QBOT&#8221;, a d\u00e9clar\u00e9 Prodaft dans un article sur X. &#8220;En tant que figure cl\u00e9 de Blackbasta, ses actions ont jou\u00e9 Un r\u00f4le majeur dans l&#8217;instabilit\u00e9 du groupe. &#8220;<\/p>\n<p>Une partie de la <a rel=\"noopener nofollow\" href=\"https:\/\/x.com\/3xp0rtblog\/status\/1892583537879994632\" target=\"_blank\">saillant<\/a> <a rel=\"noopener nofollow\" href=\"https:\/\/x.com\/vxunderground\/status\/1892830063365697685\" target=\"_blank\">aspects<\/a> de la fuite, qui contient pr\u00e8s de 200 000 messages, sont r\u00e9pertori\u00e9s ci-dessous &#8211;<\/p>\n<ul>\n<li>Lapa est l&#8217;un des principaux administrateurs de Black Basta et impliqu\u00e9 dans des t\u00e2ches administratives<\/li>\n<li>Cortes est associ\u00e9 au groupe Qakbot, qui a cherch\u00e9 \u00e0 se distancier \u00e0 la suite des attaques de Black Basta contre les banques russes<\/li>\n<li>Yy est un autre administrateur de Black Basta qui est impliqu\u00e9 dans les t\u00e2ches de soutien<\/li>\n<li>Trump est l&#8217;un des alias pour &#8220;le patron principal du groupe&#8221; Oleg Nefedov, qui porte les noms GG et AA<\/li>\n<li>Trump et un autre individu, Bio, ont travaill\u00e9 ensemble dans le sch\u00e9ma de ransomwares continu<\/li>\n<li>L&#8217;un des affili\u00e9s de Black Basta serait un mineur \u00e0 l&#8217;\u00e2ge de 17 ans<\/li>\n<li>Black Basta a commenc\u00e9 \u00e0 incorporer activement l&#8217;ing\u00e9nierie sociale dans leurs attaques \u00e0 la suite du succ\u00e8s de Sported Spider<\/li>\n<\/ul>\n<p>Selon Qualys, le groupe Black Basta exploite les vuln\u00e9rabilit\u00e9s connues, les erreurs de configurations et les contr\u00f4les de s\u00e9curit\u00e9 insuffisants pour obtenir un acc\u00e8s initial aux r\u00e9seaux cibles. Les discussions montrent que les erreurs de configuration des SMB, les serveurs RDP expos\u00e9s et les m\u00e9canismes d&#8217;authentification faibles sont syst\u00e9matiquement exploit\u00e9s, s&#8217;appuyant souvent sur des informations d&#8217;identification VPN par d\u00e9faut ou des informations d&#8217;identification vol\u00e9es \u00e0 for\u00e7age brute.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740587367_718_Les-journaux-de-discussion-Black-Basta-Ransomware-divulgues-revelent-des.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740587367_718_Les-journaux-de-discussion-Black-Basta-Ransomware-divulgues-revelent-des.png\" alt=\"\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Top 20 cves activement exploit\u00e9 par Black Basta<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Un autre vecteur d&#8217;attaque cl\u00e9 implique le d\u00e9ploiement de gouttes de logiciels malveillants pour livrer les charges utiles malveillantes. Dans une nouvelle tentative d&#8217;\u00e9liminer la d\u00e9tection, le groupe de crime \u00e9lectronique s&#8217;est av\u00e9r\u00e9 utiliser des plates-formes de partage de fichiers l\u00e9gitimes comme Transfer.sh, temp.sh et envoy.Vis.ee pour l&#8217;h\u00e9bergement des charges utiles.<\/p>\n<p>&#8220;Les groupes de ransomwares ne prennent plus leur temps une fois qu&#8217;ils ont enfreint le r\u00e9seau d&#8217;une organisation&#8221;, a &#8220;Saeed Abbasi, directeur du produit de l&#8217;unit\u00e9 de recherche sur les menaces de Qualys, <a rel=\"noopener nofollow\" href=\"https:\/\/blog.qualys.com\/vulnerabilities-threat-research\/2025\/02\/25\/defense-lessons-from-the-black-basta-ransomware-playbook\" target=\"_blank\">dit<\/a>. &#8220;Les donn\u00e9es r\u00e9cemment divulgu\u00e9es de Black Basta montrent qu&#8217;ils passent de l&#8217;acc\u00e8s initial au compromis \u00e0 l&#8217;\u00e9chelle du r\u00e9seau en quelques heures &#8211; parfois m\u00eame des minutes.&#8221;<\/p>\n<p>La divulgation intervient alors que l&#8217;\u00e9quipe de recherche de Cyberint de Check Point a r\u00e9v\u00e9l\u00e9 que le groupe de ransomware CL0P avait repris les organisations de ciblage, \u00e9num\u00e9rant les organisations qui ont \u00e9t\u00e9 viol\u00e9es sur son site de fuite de donn\u00e9es apr\u00e8s l&#8217;exploitation d&#8217;un d\u00e9faut de s\u00e9curit\u00e9 r\u00e9cemment divulgu\u00e9 (CVE-2024-50623) ayant un impact sur la gestion de Cleo sur Cleo. Logiciel de transfert de fichiers.<\/p>\n<p>&#8220;CL0P contacte directement ces soci\u00e9t\u00e9s, fournissant des liens de chat s\u00e9curis\u00e9s pour les n\u00e9gociations et les adresses e-mail pour que les victimes puissent commencer le contact&#8221;, la soci\u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/cyberint.com\/blog\/dark-web\/cl0p-ransomware\/\" target=\"_blank\">dit<\/a> Dans une mise \u00e0 jour publi\u00e9e la semaine derni\u00e8re. &#8220;Le groupe a averti que si les entreprises continuent de les ignorer, leurs noms complets seront divulgu\u00e9s dans les 48 heures.&#8221;<\/p>\n<p>Le d\u00e9veloppement suit \u00e9galement un avis publi\u00e9 par l&#8217;Agence am\u00e9ricaine de s\u00e9curit\u00e9 de cybers\u00e9curit\u00e9 et d&#8217;infrastructure (CISA) sur une vague d&#8217;exfiltration de donn\u00e9es et d&#8217;attaques de ransomwares orchestr\u00e9es par les acteurs fant\u00f4mes ciblant les organisations dans plus de 70 pays, y compris celles en Chine.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le groupe a \u00e9t\u00e9 observ\u00e9 tournant de ses charges utiles ex\u00e9cutables de ransomware, changeant d&#8217;extensions de fichiers pour les fichiers chiffr\u00e9s et modifiant le texte de la note de ran\u00e7on, menant le groupe appel\u00e9 par d&#8217;autres noms tels que Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, Hsharada et Rapture.<\/p>\n<p>&#8220;\u00c0 partir du d\u00e9but de 2021, les acteurs fant\u00f4mes ont commenc\u00e9 \u00e0 attaquer les victimes dont les services affront\u00e9s par Internet ont couru des versions obsol\u00e8tes de logiciels et de micrologiciel&#8221;, l&#8217;agence <a rel=\"noopener nofollow\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/02\/19\/cisa-and-partners-release-advisory-ghost-cring-ransomware\" target=\"_blank\">dit<\/a>. &#8220;Les acteurs fant\u00f4mes, situ\u00e9s en Chine, mettent ces attaques r\u00e9pandues \u00e0 des fins financi\u00e8res. Les victimes touch\u00e9es comprennent des infrastructures critiques, des \u00e9coles et des universit\u00e9s, des soins de sant\u00e9, des r\u00e9seaux gouvernementaux, des institutions religieuses, une technologie et des soci\u00e9t\u00e9s de fabrication et de nombreuses petites et moyennes entreprises.&#8221;<\/p>\n<p>Ghost est connu pour utiliser du code accessible au public pour exploiter les syst\u00e8mes orient\u00e9s Internet en utilisant diverses vuln\u00e9rabilit\u00e9s dans Adobe Coldfusion (<a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2009-3960\" target=\"_blank\">CVE-2009-3960<\/a>, <a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2010-2861\" target=\"_blank\">CVE-2010-2861<\/a>), Les appareils Fortinet Fortios (<a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2018-13379\" target=\"_blank\">CVE-2018-13379<\/a>) et Microsoft Exchange Server (<a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2021-34473\" target=\"_blank\">CVE-2021-34473<\/a>, <a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2021-34523\" target=\"_blank\">CVE-2021-34523<\/a>et <a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2021-31207\" target=\"_blank\">CVE-2021-31207<\/a>aka proxyshell).<\/p>\n<p>Une exploitation r\u00e9ussie est suivie par le d\u00e9ploiement d&#8217;un shell Web, qui est ensuite utilis\u00e9 pour t\u00e9l\u00e9charger et ex\u00e9cuter le cadre de frappe Cobalt. Les acteurs de la menace ont \u00e9galement \u00e9t\u00e9 observ\u00e9s \u00e0 l&#8217;aide d&#8217;un large \u00e9ventail d&#8217;outils tels que Mimikatz et Badpotato pour la r\u00e9colte d&#8217;identification et l&#8217;escalade des privil\u00e8ges, respectivement.<\/p>\n<p>&#8220;Les acteurs fant\u00f4mes ont utilis\u00e9 une ligne de commandement de commande (WMIC) \u00e0 l&#8217;acc\u00e8s \u00e9lev\u00e9 et \u00e0 Windows Management Instrumentation (WMIC) pour ex\u00e9cuter des commandes PowerShell sur des syst\u00e8mes suppl\u00e9mentaires sur le r\u00e9seau de victimes &#8211; souvent dans le but de lancer des infections suppl\u00e9mentaires de balise de gr\u00e8ve de Cobalt&#8221;, a d\u00e9clar\u00e9 CISA. &#8220;Dans les cas o\u00f9 les tentatives de mouvement lat\u00e9rales \u00e9chouent, des acteurs fant\u00f4mes ont \u00e9t\u00e9 observ\u00e9s abandonnant une attaque contre une victime.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/leaked-black-basta-chat-logs-reveal.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Plus d&#8217;un an de journaux de chat internes d&#8217;un gang de ransomware connu sous le nom de Black Basta a \u00e9t\u00e9 Publi\u00e9 en ligne dans une fuite qui offre une visibilit\u00e9 sans pr\u00e9c\u00e9dent dans leurs tactiques et leurs conflits internes entre ses membres. Les conversations en langue russe sur la plate-forme de messagerie matricielle entre [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1556515,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,78875,416,4168,1129,79002,274264,4161,274263,6124,133,2131,33125,13044,6196,65,274267,4160,4392,14397,238617,246491,4172,79016,4661,4166,4164],"class_list":["post-1556514","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-basta","tag-black","tag-comment-pirater","tag-conflits","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-discussion","tag-divulgues","tag-internes","tag-journaux","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-ransomware","tag-revelent","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-travaux","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1556514","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1556514"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1556514\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1556515"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1556514"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1556514"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1556514"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}