Les forces de l'ordre ukrainiennes et allemandes ont perquisitionné les domiciles de pirates informatiques présumés du groupe Black Basta

Les autorités ukrainiennes et allemandes ont déclaré jeudi avoirdentdes suspects liés au groupe de ransomware Black Basta, lié à la Russie, et ont lancé une chasse à l'homme internationale pour retrouver d'autres auteurs. 

D'après le site officiel de la police cybernétique ukrainienne, deux ressortissants ukrainiens ont été identifiés comme membres actifs du groupe, tandis qu'un citoyen russe non identifié serait l'organisateur présumé. Ce dernier fait l'objet d'un mandat d'arrêt international émis par Interpol, ont confirmé les autorités allemandes.

Ces actions ont été démantelées suite à une enquête conjointe menée par l'Ukraine, l'Allemagne, la Suisse, les Pays-Bas et le Royaume-Uni. Europol, qui a également apporté son soutien à l'enquête, a déclaré que Black Basta est l'une des opérations de cybercriminalité les plus dangereuses de ces dernières années.

Un réseau de ransomware basé en Russie impliqué dans des années de cyberattaques 

Selon l'unité d'enquête ukrainienne, Black Basta est actif depuis au moins début 2022. Le groupe est accusé d'avoir lancé des attaques de ransomware contre des entreprises, des hôpitaux et des institutions publiques dans des pays occidentaux qu'il considère comme « économiquement viables »

Le groupe aurait causé des dommages estimés à plusieurs centaines de millions d'euros entre 2022 et 2025 à des organisations industrielles et de santé en Europe et aux États-Unis, et aurait diffusé des informations privées à des réseaux de pirates informatiques.

Les deux suspects ukrainiens avaient établi leur base dans l'ouest de l'Ukraine, collaborant avec d'autres pirates informatiques pour compromettre la sécurité des systèmes d'entreprise ettraclesdentde connexion. Après avoir obtenu les données d'autorisation des employés, ils les ont utilisées pour accéder aux systèmes internes de l'entreprise et étendre leurs privilèges d'administrateur ainsi que leur accès aux fichiers de l'entreprise.

L'accès volé a été utilisé pour désactiver des systèmes critiques, et un logiciel malveillant a été déployé pour chiffrer les données afin que les attaquants puissent exiger une rançon en échange du rétablissement de l'accès.

Des perquisitions dans l'ouest de l'Ukraine mettent au jour des preuves numériques et cryptographiques 

D'après la police ukrainienne, des perquisitions autorisées ont été menées à des domiciles situés dans les régions d'Ivano-Frankivsk et de Lviv, soupçonnés d'abriter les cybercriminels. Lors de ces perquisitions, les forces de l'ordre ont saisi des cryptomonnaies, sans toutefois préciser la valeur ni la nature des actifs numériques confisqués.

Les autorités avaient déjà mené des perquisitions à Kharkiv et dans ses environs à la demande de leurs partenaires étrangers, ciblant d'autres membres présumés du groupe. L'équipe d'enquêteurs allemands pense qu'un ressortissant russe a fondé et dirigé le groupe, et qu'il était impliqué dans une autre opération notoire de rançongiciel et d'extorsion en ligne.

À la demande de l'Office fédéral de police criminelle allemand et du parquet de Francfort, les canaux d'Interpol ont été utilisés pour diffuser l'avis de recherche. 

« Black Basta représente une menace cybercriminelle de premier plan, une menace importante pour la cybersécurité mondiale, selon les forces de l'ordre de plusieurs pays », a écrit la police cybernétique ukrainienne dans un communiqué.

En conclusion de leur rapport sur l'affaire, les agences ont réaffirmé qu'aucun pays ne pouvait démanteler seul de tels réseaux et ont exhorté davantage de nations à ouvrir la voie au partage de renseignements.

Le réseau criminel ukrainien et russe s'étend jusqu'en Autriche

Il y a près de deux mois, la police autrichienne a arrêté deux suspects liés à un vol de cryptomonnaie mortel,dentcomme étant des hommes ukrainiens âgés de 19 et 45 ans. 

La victime était un ressortissant ukrainien de 21 ans dont le corps a été découvert calciné peu après minuit le 26 novembre. La dépouille a été retrouvée à l'intérieur d'une Mercedes incendiée, immatriculée en Ukraine, dans le quartier de Donaustadt à Vienne.

Lorsque les secours sont arrivés sur les lieux, ils ont trouvé le véhicule calciné, mais la police scientifique a ensuite récupéré un bidon d'essence fondu sur le siège arrière.

D'après les médias locaux, l'agression a débuté plus tôt dans la soirée, près de l'hôtel SO/Vienna, dans un parking souterrain. Les images de vidéosurveillance montrent une altercation entre la victime et deux hommes ; des témoins ont rapporté avoir entendu une vive dispute à l'intérieur du parking. 

Un client de l'hôtel a contacté la réception, qui a alerté la police. Cependant, les agents sont arrivés sur les lieux bien après le départ des individus. La victime aurait été forcée de monter dans son propre véhicule et conduite dans le quartier de Donaustadt. Elle aurait ensuite été agressée et contrainte de divulguer les mots de passe de deux portefeuilles de cryptomonnaies, qui ont par la suite été vidés. 

Les médias autrichiens ont rapporté que la victime avait subi de graves blessures lors de l'agression et était décédée avant que le véhicule ne soit incendié.