Les autorités ukrainiennes et allemandes ont fait un pas important dans la longue enquête menée contre le groupe Ransomware connu sous le nom de Black Basta : elles ont identifié ceux qui considèrent leur chef et ont encouragé leur incorporation dans les listes de recherche internationales. C'est un coup symbolique et opérationnel. qui reflète à la fois la maturité de la coopération policière internationale et les difficultés de traduire en justice les gangs opérant dans le domaine de la cybercriminalité.
Selon les informations diffusées par la cyberpolice ukrainienne, l'enquête visait un citoyen russe de 35 ans, identifié par les autorités comme Oleg Evgenievich Nefedov, qui est attribué à la direction de l'opération. La même source décrit le travail conjoint avec des collègues allemands et la réalisation d'enregistrements dans des endroits précis dans les régions d'Ivano-Frankivsk et de Lviv, où des dispositifs de stockage numérique et des avoirs ont été saisis dans des cryptomones. La note officielle de la police ukrainienne est disponible pour plus de détails sur les performances et les preuves recueillies. Voilà..
En outre, l'identification a abouti à l'inclusion du présumé chef de file dans les listes internationales de recherche et de capture: son dossier figure désormais parmi les objectifs publiés par Europol et dans une notification d'Interpol. Ces outils font partie de l ' arsenal qui facilite la coopération entre les forces de police dans différents pays et aide à coordonner les processus d ' arrestation ou de blocage des avoirs en présence de juridictions. Des liens officiels pour consulter ces notifications sont disponibles sur les pages de Europol et Interpol.
Black Suit est un exemple clair de la façon dont le modèle "Ransomware-as-a-service" (RaaS) a professionnalisé et multiplié l'impact de ces bandes. Depuis sa création en 2022, l'opération a été liée à des centaines d'attaques contre de grandes organisations dans diverses régions du monde : entreprises automobiles et de défense, prestataires de services, établissements de santé et entités publiques ont été parmi les victimes. Ce système permet aux développeurs, opérateurs et affiliés spécialisés de coopérer de manière modulaire, ce qui complique la recherche et étend le rayon des dommages.
L'enquête ukrainienne met l'accent sur la présence de personnes spécialisées dans l'accès initial aux réseaux d'entreprises : des acteurs qui, à travers des outils et des techniques de « fissuration » et d'autres méthodologies, extraient des références, soulèvent des privilèges et préparent le terrain pour la phase de cryptage et d'extorsion. Cette phase préparatoire est critique dans la chaîne criminelle car elle permet à l'agresseur d'installer des portes arrière et de se déplacer latéralement avant de faire exploser l'attaque visible sur les systèmes de la victime.
Un élément qui a contribué à éclairer la structure interne du groupe a été la fuite massive de messages entre les membres de Black Basta lui-même, qui a permis aux analystes externes de suivre les alias, de parler des rôles et des récompenses, et d'éventuels liens avec des groupes précédents. Les chercheurs en sécurité qui ont examiné ce matériel ont souligné les liens entre les identités en ligne utilisées par le groupe et les acteurs qui opéraient auparavant sur le réseau Conti, le grand syndicat Ransomware qui a démembré il y a quelques années. Une analyse détaillée de ces entretiens et de leur signification technique peut être lue dans le rapport de Trellix publié par l'entreprise.
L'histoire de Conti sert de contexte : après sa dissolution, des membres dispersés et des dirigeants réapparaissent dans de nouveaux projets ou prennent le contrôle des opérations existantes, générant un écosystème dans lequel les noms visibles d'une opération peuvent réapparaître sous d'autres marques. Cette dynamique rend difficile non seulement l'attribution, mais aussi la stratégie internationale d'atténuation, car les opérateurs ajoutent souvent des couches d'utilisation et se déplacent en profitant des juridictions avec peu de coopération.
La réponse de la police comprenait des mesures sur le terrain - perquisitions, saisie d ' engins et gel de certaines ressources - mais la persécution de ces réseaux ne s ' achève pas par une exigence internationale : traduire en justice les auteurs présumés exige des lettres rogatoires, des extraditions, une analyse médico-légale approfondie et la volonté de multiplier les États pour tenir de longs processus. En outre, la nature transnationale de la cybercriminalité exige la combinaison du renseignement technique et de la diplomatie judiciaire..
Pour les entreprises et les administrations qui peuvent être objectives, ce cas souligne à nouveau la nécessité de renforcer les mesures de base mais efficaces: contrôles d'accès robustes, suivi des comptes privilégiés, segmentation du réseau et plans d'intervention qui comprennent non seulement la récupération technique, mais aussi la gestion juridique et de la communication. L'expérience montre que la prévention et la détection précoce réduisent considérablement l'impact opérationnel et économique des incidents.
Enfin, l'annonce publique de l'identification du chef présumé sert aussi de signal à la communauté de la sécurité : elle révèle que les enquêtes peuvent porter leurs fruits grâce à l'échange d'informations entre les juridictions et à la collaboration avec les sociétés de cybersécurité qui analysent les fuites et les fuites. Toutefois, le succès partiel n'élimine pas le défi permanent posé par les acteurs qui, grâce aux cryptomones, à l'infrastructure décentralisée et à une forte culture de l'anonymat, continuent de s'adapter aux interventions de la police.
Pour de plus amples renseignements sur les sources principales et l'analyse technique, veuillez consulter la note de la cyberpolice ukrainienne mentionnée ci-dessus. Voilà. et l'étude de Trellix des conversations filtrées Voilà. ainsi que les fiches de recherche publiées par Europol et Interpol.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...