Accueil » , » Attaque Black Basta via Microsoft Teams et scripts Python

Attaque Black Basta via Microsoft Teams et scripts Python

Aucun commentaire
Groupe de hackers Black Basta

L’article de The Hacker News du 11 juin 2025 analyse comment des ex‑membres du groupe de ransomware russophone Black Basta ont, après leur départ, réutilisé un serveur bancaire exfiltré pour leurs propres activités malveillantes.

Contexte et fuite des discussions internes

Début 2025, une vaste fuite de plus de 200 000 messages internes du groupe de hackers, couvrant la période septembre 2023–septembre 2024, a été publiée en ligne. Cette fuite—par l’initié connu sous le pseudonyme « ExploitWhispers »—visait à punir Black Basta pour ses attaques contre des banques russes ; son authenticité a été confirmée par plusieurs experts en cybersécurité.

Présentation de Black Basta

  • Emergence : avril 2022, branche de Conti.
  • Modèle RaaS double extorsion : chiffrement + fuite de données.
  • Visé : plus de 500 organisations (infrastructures, entreprises) en Amérique du Nord, Europe, Australie.
  • Gains estimés : ≈ 107 M$ BTC, principalement auprès d’une centaine de victimes.

Instabilité interne et exfiltration de serveurs

Les logs internes révèlent un groupe en crise : conflits entre membres, escroqueries envers des victimes, violence psychologique, déficit de rémunération. Un acteur clé, « Tramp » (alias LARVA‑18), qui gérait un réseau de spam pour QakBot, est particulièrement ciblé.

Des membres ont quitté Black Basta pour rejoindre d’autres groupes, notamment CACTUS (alias Nurturing Mantis) et Akira). L'article montre que certains ont conservé l'accès à un serveur exfiltré à partir d'une banque, devenu un point pivot pour des attaques ultérieures.

Techniques d’intrusion et CVE exploitées

Les logs démontrent une exploitation habile des failles connues, configurations SMB/RDP faibles, VPN par défaut et bruteforce. Boîte à outils : Cobalt Strike, Mimikatz, PsExec, scripts PowerShell, droppers via plateformes publiques (transfer.sh, temp.sh…) :contentReference[oaicite:6]{index=6}.

62 CVE (dont 53 activement exploitées) sont mentionnées, ciblant des systèmes : Citrix, VMware, Zyxel, Confluence, Exchange, Palo Alto, Cisco, etc. :contentReference[oaicite:7]{index=7}.

Tactiques de social engineering et persistance

Mail bombing, appels usurpés, utilisation de Microsoft Teams et Quick Assist ou RMM comme AnyDesk pour l’élévation de privilèges. L’utilisation du loader BackConnect (alias QBACKCONNECT), implanté via OneDriveStandaloneUpdater.exe, permet la persistance sur la machine cible — une tactique reprise par CACTUS, suggérant le transfert d’opérateurs.

Les ex‑membres utilisent aussi le malware SystemBC et un loader en Go ou Java pour établir des connexions SSH inversées et des proxy SOCKS, témoignant d’évolution continue de leurs TTP.

Implications géopolitiques et réactions internes

Selon Trellix, le chef « GG » (alias Oleg Nefedov), arrêté à Erevan en juin 2024, aurait été exfiltré grâce à des contacts au sein des autorités russes, évoquant un « couloir vert » et un soutien de très haut niveau, possiblement au plus haut sommet russophone :contentReference[oaicite:10]{index=10}.

Dans les chats, les membres s’inquiètent de représailles occidentales : saisies, inclusion sur listes terroristes, or sanctions, en référence au cas Colonial Pipeline et aux actions contre TrickBot.

Migration vers CACTUS et usage de serveurs bancaires

L’article pointe qu’après leur départ, certains anciens de Black Basta ont poursuivi leur activité au sein de CACTUS en réutilisant un serveur bancaire déjà exfiltré, réaffirmant la porosité entre groupes et la réutilisation d’infrastructures compromises :contentReference[oaicite:12]{index=12}.

Cette astuce permet d’économiser sur les coûts d’hébergement malveillant et facilite la persistance sur des hôtes jadis ciblés, augmentant l’efficacité des attaques ultérieures.

8. Enseignements et défense

La fuite permet de renforcer les défenses : identification rapide des CVE exploitables, compréhension de la pipeline d’attaque (initial access ➝ persistance ➝ exfiltration ➝ ransomware), simulation de social engineering dans la formation, et blocage des outils et serveurs de commande et contrôle.

Des mécanismes comme le patching proactif (particulièrement sur les CVE identifiés), la MFA résistante au phishing, le monitoring des connexions Quick Assist/RMM et l’organisation d’un threat hunting centré sur BackConnect/SystemBC sont recommandés :contentReference[oaicite:13]{index=13}.

L’article souligne comment la fuite des logs a jeté un éclairage sans précédent sur le fonctionnement interne de Black Basta : ses conflits, ses méthodes, son prolongement chez CACTUS, et l’économie de leurs actifs malveillants.

Ce cas illustre l’interconnexion des groupes criminels, l’importance stratégique des fuites d’informations dans le monde RaaS, ainsi que la nécessité urgente pour les organisations de bâtir des défenses adaptatives contre une menace cyber en constante mutation.

Source : Former Black Basta Members Use Microsoft Teams and Python Scripts in 2025 Attacks - The Hacker News
Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags