Selon Intel 471, des responsables européens ont révélé l’existence d’un task force secret du FBI nommé « Group 78 », dédié à la perturbation de groupes de ransomware russes — en particulier Black Basta — via des opérations clandestines. Le groupe viserait à désorganiser les membres en Russie et à retourner le pays contre les cybercriminels. La même source rappelle que Black Basta a extorqué au moins 100 M$ depuis avril 2022 et qu’une fuite en février 2025 de 200 000 messages de chat a exposé sa structure, ses TTPs et l’identité de membres. Ces révélations auraient tendu les relations entre autorités américaines et européennes en raison de méthodes opérationnelles et d’implications juridiques.

Côté menace, Black Basta est apparu en avril 2022 comme une opération RaaS menée par l’acteur « tramp » (identifié comme Oleg Nefedov). Les messages fuités dévoilent l’infrastructure technique, notamment des portefeuilles crypto, des noms de domaine, des IoCs, des techniques d’exploitation et des méthodes d’accès initial.

Sur le plan opérationnel, le « Group 78 » mènerait des opérations cyber offensives, incluant la suppression de données chez des hébergeurs « bulletproof » et de possibles opérations sous fausse bannière. 🕵️‍♂️

Des éléments probants cités comprennent la fuite du canal Telegram ExploitWhispers détaillant un an d’opérations, une fuite de données de Yandex Food révélant la localisation d’acteurs, ainsi que des arrestations en Arménie en juin 2024.

IoCs et TTPs mentionnés dans la source:

  • IoCs: portefeuilles de cryptomonnaies, noms de domaine (détaillés dans les messages fuités)
  • TTPs: exploitation de vulnérabilités, méthodes d’accès initial, modèle RaaS, effacement de données chez des hébergeurs bulletproof, opérations potentiellement « false flag »

Type d’article: analyse de menace visant à documenter les opérations de perturbation, la structure et les techniques de Black Basta, ainsi que les implications interservices.

🧠 TTPs et IOCs détectés

TTPs

exploitation de vulnérabilités, méthodes d’accès initial, modèle RaaS, effacement de données chez des hébergeurs bulletproof, opérations potentiellement false flag

IOCs

portefeuilles de cryptomonnaies, noms de domaine (détaillés dans les messages fuités)

🔗 Source originale : https://www.intel471.com/blog/the-fbis-group-78-covertly-fighting-ransomware

🖴 Archive : https://web.archive.org/web/20251023071813/https://www.intel471.com/blog/the-fbis-group-78-covertly-fighting-ransomware