BlackSuit : combien de sous-groupes derrière cette enseigne ?

Les premières victimes connues de BlackSuit remontent à juin 2023, mais c’est à partir de novembre dernier qu’elles ont commencé à se multiplier, et plus encore à partir d’avril 2024. À ce jour, on compte un peu plus de 120 revendications. 

À l’automne dernier, l’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) le suspectait (et n’était pas seule en cela) : « il existe des indications selon lesquelles Royal prépare un effort de changement de marque et/ou de spinoff ». En ligne de mire, BlackSuit, qui « partage plusieurs caractéristiques de code similaires avec Royal ».

Royal, c’est le groupe qui est impliqué dans la cyberattaque ayant frappé la ville de Lille fin février 2023. Il trouvait ses origines dans une franchise découverte en janvier 2022 et baptisée Zeon. Aucune de ses victimes n’est publiquement connue.

Yelisey Bohuslavskiy, de RedSense, estime que BlackSuit est une émanation de la seconde équipe de feu Conti, ayant choisi de s’ouvrir et se décentraliser, recrutant des assaillants (ou pentesters, selon le jargon en vigueur dans le monde de la cybercriminalité) chez LockBit, Akira (autre émanation de Conti) et BlackCat.

Selon lui, en mars dernier, une scission a eu lieu chez BlackSuit, faisant émerger un autre spin-off de Royal, BlackSpade. C’est ce sous-groupe qui serait responsable de l’attaque contre Octapharma Plasma et CDK.

En fait, certaines revendications et pratiques associées suggèrent des évolutions dans les effectifs de l’enseigne.

Les données attribuées aux deux premières victimes revendiquées par BlackSuit, le 12 juin 2023, sont partagées sous forme d’archive .tgz, sur un onion qui n’est utilisé pour aucune autre victime du groupe. Ce format d’archivage de données n’est d’ailleurs pas utilisé non plus pour la moindre autre victime du groupe. 

Il est tentant d’attribuer ces deux premières victimes à un même acteur ayant rapidement quitté l’enseigne après son apparition. Mais il y a plus. Car si certains acteurs liés à l’enseigne sont peu bavards – jusqu’à ne pas accorder un mot de présentation à leurs victimes –, d’autres s’avèrent particulièrement loquaces. 

Ainsi, les revendications pour une dizaine de victimes se distinguent par une liste de types de données volées – « What kind of data we have taken » – suggérant un premier sous-groupe responsable des attaques correspondantes. La revendication relative à Octapharma Plasma suit ce modèle. Et ce sous-groupe semble également reprocher régulièrement à ses victimes son absence de coopération « malgré des alertes répétées ».

Mais le potentiel sous-groupe le plus remarquable semble avoir fait sa première victime autour du 19 avril dernier. Ses signes distinctifs ? Il fournit des informations détaillées sur ses victimes, jusqu’à donner les noms et coordonnées de leurs dirigeants, des liens vers ZoomInfo ou encore LinkedIn et, surtout… une liste de fichiers et dossiers (datés), visible directement sur la revendication. Ce sous-groupe semble compter parmi les plus actifs de BlackSuit actuellement.

Un troisième sous-groupe semble se distinguer depuis la fin avril en précisant, dans cet ordre, le numéro de téléphone et le chiffre d’affaires de la victime. Et à cela s’ajoute un potentiel dernier, arrivé fin juillet, et se distinguant par un recours intensif à l’italique. 

Au total, ces observations suggèrent la présence d’au moins 5 ou 6 sous-groupes actifs sous la bannière de BlackSuit.