L'enquête coordonnée entre les autorités ukrainiennes et allemandes a fourni de nouvelles données sur la structure et le fonctionnement de l'une des bandes de ransomware les plus saines au cours des dernières années. Selon des informations officielles, deux Ukrainiens auraient été identifiés, qui seraient liés au groupe Black Basta, et ont été placés sur des listes de recherche internationales dont les enquêtes indiquent qu'ils sont leur chef, un homme né en Russie. C'est un coup important contre une organisation qui, depuis son apparition en 2022, a causé des dommages à des centaines d'entreprises sur plusieurs continents.
La cyberpolice ukrainienne a précisé que les personnes arrêtées agissaient en tant que spécialistes techniques afin de compromettre les systèmes protégés par des outils pour déchiffrer les mots de passe - les « crackers » connus - et ainsi faciliter l'accès initial aux réseaux d'entreprises. Une fois qu'ils ont obtenu des références précieuses, les attaquants sont entrés dans l'infrastructure, ont déployé l'ansomware et ont exigé des paiements en cryptomoneda en échange de la récupération de données. Ce rôle technique, moins visible que celui de ceux qui négocient les sauvetages, est néanmoins fondamental pour le fonctionnement du régime pénal.. La note officielle du corps ukrainien est disponible ici: Cyberpolice d'Ukraine.
Pour sa part, l'Office fédéral allemand des enquêtes criminelles (BKA) a incorporé le chef présumé dans ses archives et les autorités européennes ont ajouté son dossier aux listes des personnes les plus recherchées dans l'Union européenne et INTERPOL, ce qui facilite la coopération internationale pour leur localisation et leur détention. L'onglet BKA et les listes internationales sont accessibles au public: BKA, L'UE la plus recherchée, INTERPOL Avis rouge.
Les perquisitions effectuées dans les maisons des suspects, dans des villes ukrainiennes comme Ivano-Frankivsk et Leópolis, ont permis la saisie de dispositifs de stockage numérique et de biens dans les cryptomones, qui sont souvent les principales preuves dans les enquêtes sur la cybercriminalité. La récupération de preuves numériques et de fonds virtuels est essentielle pour reconstruire la chaîne d'actions et les éventuels processus judiciaires.
Black Basta est apparu sur la scène publique au printemps 2022 et, presque immédiatement, a commencé à élargir sa liste de victimes en Amérique du Nord, en Europe et en Océanie. Les sources de renseignement dans la cybersécurité et l'analyse médico-légale estiment que leurs opérations auraient généré des revenus pour des centaines de millions de dollars en cryptomonédas de sauvetage. Une fuite massive des conversations internes du groupe, publiée plus tard, a ouvert une fenêtre sur son organisation interne, les méthodes d'accès initiales et l'identité des membres clés de l'équipe. Les rapports et l'analyse de cette fuite peuvent être trouvés dans les enquêtes des entreprises spécialisées: S-RM et KELA.
Parmi les documents filtrés figurait le nom que les autorités lient au leadership : un individu qui aurait utilisé de nombreux pseudonymes pour opérer dans des forums clandestins et coordonner l'activité du bloc criminel. Certaines parties de la fuite suggèrent des liens avec des acteurs étatiques et des structures de renseignement, une accusation qui, si elle était confirmée, expliquerait en partie la capacité de ces groupes à se protéger de certaines actions en justice et à migrer entre les juridictions. Les analystes qui ont travaillé sur la fuite détaillent ces liens et leurs implications dans leurs publications mentionnées ci-dessus.
Le sort de son prétendu leader illustre la complexité de la poursuite des cybercriminels transnationaux : on signale des arrestations suivies d'extractions, de marches bureaucratiques et, dans certains cas, de libérations qui permettent à des suspects de disparaître à nouveau. Bien que les autorités affirment que l'individu se trouve actuellement en Russie et que l'on ignore où il se trouve exactement, son inscription sur les listes internationales vise à mettre fin aux possibilités d'impunité. La réponse juridique et diplomatique est aussi importante que la technique visant à affecter la continuité de ces organisations..
Du point de vue criminel, Black Basta n'est pas né dans le vide : son apparition faisait partie d'une correction dans l'écosystème de l'ansomware après la disparition de marques antérieures comme Conti. Ces ruptures et fusions entre bandes conduisent souvent à de nouveaux noms, à la redistribution des talents et au recyclage tactique. Le phénomène de rebaptisation et de migration des affiliés est une constante dans ce monde, ce qui signifie que le silence d'un site de filtrage ou la chute d'un portail d'extorsion ne garantissent pas la fin de la menace. Une analyse récente de la façon dont les groupes ferment les opérations et résurgence sous de nouveaux labels peut être vue dans cet examen de l'effondrement et de ses conséquences: Barracuda.
En fait, à la suite de la disparition du site public de Black Basta, des sociétés de renseignement ont détecté une vague de noms d'entreprises touchées inscrites dans un nouveau service de filtration associé à un acteur appelé CACTUS, suggérant le déplacement interne de filiales vers une autre opération criminelle. Les changements soudains dans les « tableaux » publics de ces bandes sont souvent une piste pour les équipes d'intervention et les forces de police qui suivent les réseaux affiliés. D'autres recherches menées par les sociétés de cybersécurité et les centres d'intervention des entreprises ont documenté ce saut et ses auteurs potentiels.
Pour les entreprises et les responsables de la sécurité, la leçon est claire : la menace n'est pas réduite à un nom reconnaissable, mais à des modes d'exploitation répétés - exploitation de vulnérabilités, vol d'identités, cryptage massif et demande de paiement en cryptomoneda - et ils peuvent réapparaître avec différents acteurs. Investir dans la détection précoce, la segmentation du réseau et la gestion rigoureuse des références réduit la zone d'attaque où les crackers de hachage et d'autres spécialistes techniques tentent d'agir.
Au niveau pénal et diplomatique, la coopération multinationale et l'échange rapide de renseignements médico-légaux s'avèrent des outils essentiels : l'identification de membres dans différents pays, la saisie de biens numériques et de listes de recherche internationale affaiblissent la logistique et l'impunité de ces gangs. Cependant, la persécution exige persévérance et ressources, car les acteurs malveillants s'adaptent rapidement.
L'affaire qui se déplace maintenant entre les tribunaux et les organes de police rappelle que la lutte contre Ransomware est hybride : technologique, juridique et géopolitique en même temps. Bien que les autorités agissent sur des individus et des structures spécifiques, les organisations sectorielles et les équipes de cybersécurité doivent tenir les défenses à jour et apprendre de chaque fuite ou incident afin de renforcer les contrôles. Si vous souhaitez approfondir les communiqués officiels et les analyses mentionnés dans ce texte, voici les principales sources consultées: Cyberpolice d'Ukraine, BKA, L'UE la plus recherchée, INTERPOL, S-RM, KELA et Barracuda.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...