BlackSuit : la folie des grandeurs renouvelée d’anciens de Conti ?

Le 8 juin, le conglomérat japonais Kadokawa a subi une cyberattaque qui a rendu inaccessibles plusieurs de ses sites Web, notamment le site officiel et les plateformes de services en ligne NicoNico et Ebten.

Le studio de développement FromSoftware, à qui l’on doit notamment Elden Ring, appartient également à Kadokawa, mais l’impact de la cyberattaque sur ses activités n’a pas été précisé.  

Dix jours plus tard, CDK, un fournisseur de logiciels pour les concessionnaires automobiles, subissait à son tour une cyberattaque ayant nécessité la fermeture de la majorité de ses systèmes. Au moment où sont publiées ces lignes, l’impact reste considérable sur l’activité des revendeurs automobiles outre-Atlantique ; il devrait être perceptible sur les chiffres d’immatriculation de véhicules neufs du mois de juin. Et la restauration des systèmes apparaît encore loin d’être achevée. 

Le 22 juin, c’est au tour du National Health Laboratory Service (NHLS) en Afrique du Sud d’être frappé par une cyberattaque avec rançongiciel. Les systèmes du NHLS sont rendus inaccessibles et les laboratoires fonctionnent en mode manuel, avec des résultats d’analyses communiqués par téléphone.

Les points communs de ces cyberattaques ? Des impacts étendus et un même responsable : le groupe BlackSuit. Ce dernier a revendiqué l’attaque contre Kadokawa le 27 juin, annonçant la divulgation de 1,5 To de données volées pour le 1^er juillet. 

Des sources anonymes ont confirmé à nos confrères de Bleeping Computer l’implication de l’enseigne BlackSuit dans la cyberattaque menée contre CDK. Dimanche, la CEO du NHLS, Koleka Mlisana, a publiquement imputé la responsabilité de l’attaque à BlackSuit. Ce n’est pas la première victime de BlackSuit dans le secteur de la santé : le 15 avril, l’attaque d’Octapharma Plasma, opérateur de plus de 150 centres de don de plasma sanguin aux États-Unis, avait été attribuée à BlackSuit, qui l’a revendiquée le 23 avril.

Les premières victimes connues de cette enseigne remontent à juin 2023, mais c’est à partir de novembre dernier qu’elles ont commencé à se multiplier. A ce jour, on compte un peu moins d’une centaine de revendications. 

À l’automne dernier, l’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) le suspectait – et n’était pas seule en cela : « il existe des indications selon lesquelles Royal prépare un effort de changement de marque et/ou de spinoff ». En ligne de mire, BlackSuit, qui « partage plusieurs caractéristiques de code similaires avec Royal ».

Royal, c’est le groupe qui est impliqué dans la cyberattaque ayant frappé la ville de Lille fin février 2023. Il trouvait ses origines dans une franchise découverte en janvier 2022 et baptisée Zeon. Aucune de ses victimes n’est publiquement connue.

Yelisey Bohuslavskiy, de RedSense, estime que BlackSuit est une émanation de la seconde équipe de feu Conti, ayant choisi de s’ouvrir et se décentraliser, recrutant des assaillants (ou pentesters, selon le jargon en vigueur dans le monde de la cybercriminalité) chez LockBit, Akira (autre émanation de Conti) et BlackCat.

Selon lui, en mars dernier, une scission a eu lieu chez BlackSuit, faisant émerger un autre spin-off de Royal, BlackSpade. C’est ce sous-groupe qui serait responsable de l’attaque contre Octapharma Plasma et CDK.