Black Basta : après l’étrange trêve estivale de 2024, vers un éclatement ?

Le groupe Black Basta a paru s’offrir des vacances durant l’été. Ses plus récentes revendications confortent cette analyse. 

Au mois de juillet, le groupe s’était contenté de 7 revendications, mais il a désormais pu être établi que toutes se rapportaient à des cyberattaques conduites antérieurement. C’est un niveau d’activité observable très bas, par rapport aux mois précédents.

En juin, 15 revendications avaient été publiées sur le site vitrine de Black Basta, contre 18 en mai, 20 en avril, 35 en mars, ou encore 25 en février. Mais le groupe est coutumier des revendications retardées, comme il l’avait déjà bien montré en début d’année 2024.

L’analyse des éléments divulgués par Black Basta permet d’estimer la date de survenue de la cyberattaque ainsi que l’écart avec celle de la revendication. Ce travail fait là ressortir 12 victimes en juin, 15 en mai, 14 en avril, mais 33 en mars, et 38 en février. 

Néanmoins, Black Basta semble avoir eu une activité quasi nulle en juillet, août et septembre – avec seulement 2 victimes pour ce dernier mois, et encore, en toute fin. Ce n’est qu’en octobre que les affaires ont repris, avec une trentaine de victimes. 

Mais l’élan ne semble pas avoir tenu pour autant : de nombreuses victimes revendiquées en novembre et décembre ont été attaquées en… octobre. Le niveau observable de l’activité de Black Basta sur les deux derniers mois de 2024 apparaît, à ce jour, relativement bas. Et cela n’a rien à voir avec le mois de janvier des festivités orthodoxes. 

Ces observations laissent à suspecter une possible perte de confiance, au sein de l’enseigne Black Basta, à l’issue des quasiment trois mois d’inactivité presque totale. 

Et cela n’est pas sans rappeler l’histoire de l’enseigne dont est issu Black Basta, à savoir Conti. En août 2021, un affidé mécontent avait rendu publics des contenus de formation très précis et détaillés pour les nouvelles recrues de la petite entreprise criminelle. Quelques jours plus tard, les données chiffrées des serveurs de production de Solware, éditeur français de solutions métiers attaqué par Conti dans la nuit du 11 au 12 août, étaient détruites. 

Quelques mois plus tard, la Russie envahissait l’Ukraine et Conti prenait ouvertement position en faveur de la première. Une initiative qui allait conduire à l’éclatement de l’enseigne et à la fuite de nombreuses données internes sensibles. De là allaient émerger Akira, BlackByte, Karakurt, Black Basta ou encore Royal/BlackSuitet ThreeAM.

Parmi ces émanations de Conti, l’une d’entre elles s’est fortement distinguée depuis la fin du mois d’octobre 2024 : Akira. Non seulement a-t-elle multiplié les revendications de victimes à un rythme inhabituel, mais l’enseigne s’est également lancée dans la divulgation de données volées à de nombreuses victimes… jamais revendiquées au préalable sur sa vitrine. 

Plusieurs de ces victimes apparaissent avoir été attaquées en juillet et août derniers, voire début septembre. Pendant, donc, que Black Basta était en congé. Et qu’Akira continuait d’égrainer les victimes avec régularité.

De quoi potentiellement suggérer que la loyauté de certains serait passée d’une marque à l’autre.