Une opération internationale a mis hors ligne le groupe de ransomware BlackSuit, saisissant ses sites darknet. Mais une résurgence se profile déjà sous un autre nom : Chaos ransomware.
L’opération Checkmate : fin de partie pour BlackSuit
Tout a commencé avec une bannière. Le 27 juillet 2025, les internautes familiers du darkweb ont vu s’afficher sur les sites .onion du groupe BlackSuit une mention sans équivoque : « This site has been seized by U.S. Homeland Security Investigations ». Ce message remplace désormais l’interface utilisée pour publier les données volées et négocier les rançons. Derrière cette fermeture numérique brutale se cache une opération mondiale baptisée Checkmate, rassemblant les efforts de services américains, français, allemands, canadiens, ukrainiens, roumains, britanniques et plus encore.
Le groupe de ransomware BlackSuit était jusqu’alors l’un des groupes les plus actifs du darkweb. Issu du gang Royal, lui-même héritier du tristement célèbre groupe Conti, il avait mis en place une infrastructure solide, combinant chiffrement des données et extorsion via publication publique sur un « leak site ».
Durant plus de deux ans, BlackSuit a imposé sa méthode : voler, chiffrer, puis menacer. Sa stratégie était simple mais redoutablement efficace : après une infiltration lente et furtive, les données étaient copiées, puis les systèmes paralysés. Les rançons exigées atteignaient régulièrement plusieurs millions d’euros, avec un record connu à 60 millions de dollars (environ 55 millions d’euros).
Pays visés
Parmi les 170 cas listés par ZATAZ, 13 pays sont concernés. Les États-Unis concentrent la très grande majorité des cas (près de 77 %), loin devant le Canada, le Royaume-Uni, la Belgique et l’Espagne.
-
USA (130 cas)
-
Canada (13)
-
Royaume-Uni (10)
-
Belgique et Espagne (5)
Sont également présents : Allemagne, Italie, Pays-Bas, Suisse, Afrique du Sud, Japon, Taïwan, Ghana, Australie, Chine, Brésil, Jamaïque, Chypre, Danemark, Nigeria, Corée du Sud. Les pays francophones présents sont la Belgique et le Canada.
BlackSuit : anatomie d’une cyber-menace structurée
L’analyse technique d’une intrusion menée par BlackSuit en août 2024 révèle un schéma d’attaque rodé. Elle débute par un beacon Cobalt Strike, identifié comme RtWin64.exe, lancé sur un serveur de domaine. En moins de six heures, les cybercriminels collectent des informations système, utilisent Rubeus pour les attaques Kerberoasting et AS-REP Roasting, et exploitent Sharphound pour cartographier l’annuaire Active Directory.
L’intrusion évolue avec une rapidité inquiétante. Dix minutes après cette première reconnaissance, les pirates s’infiltrent via SMB sur un autre poste, extraient des identifiants via le processus LSASS, et répètent l’opération sur plusieurs machines. Des outils comme SystemBC sont ensuite déployés pour établir une persistance sur le réseau, souvent en modifiant les clés de registre.
Après une phase de dormance de quelques jours, le septième jour voit le domaine de commande et contrôle migrer vers une adresse AWS. D’autres beacons sont alors déployés, accompagnés de connexions RDP multiples. Le neuvième jour, un nouveau beacon PowerShell Cobalt Strike est activé. À ce stade, l’infrastructure cible est entièrement sous contrôle.
Répartition par type d’entreprise (classification sectorielle)
Secteurs principaux affectés (ils ratissaient très large) :
Éducation (écoles, universités, collèges, districts scolaires) : 32 cas
Santé (cliniques, laboratoires, hôpitaux, médico-social, EHPAD) : 18 cas>
Industrie / Construction / Manufacturier (BTP, métallurgie, manufacturier, logistique) : 34 cas
Collectivités / Administrations publiques (villes, comtés, municipalités, agences publiques) : 26 cas
Services et consulting (SSII, conseils, architectes, ingénierie) : 16 cas
Infrastructures critiques (aéroports, compagnies d’électricité, gestion hydraulique, réseaux) : 7 cas
Commerce / Distribution : 8 cas
Finance / Assurance / Banque : 6 cas
Transport / Automobile : 7 cas
Technologie / Informatique : 10 cas
Autres (hôtellerie, restauration, etc.) : 6 cas
La phase finale arrive cinq jours plus tard. Les outils ADFind et Get‑DataInfo.ps1 sont utilisés pour exfiltrer des informations, puis les copies d’ombre sont effacées avec vssadmin. Enfin, le ransomware qwe.exe est déployé via le partage C$, et le chiffrement est déclenché manuellement en RDP. Des notes de rançon BlackSuit apparaissent alors sur chaque poste infecté.
⏳ Jusqu’où tolérerez-vous d’être piraté ?
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
Chaos ransomware : le retour du spectre
Malgré la saisie des infrastructures de BlackSuit, la menace persiste. Très rapidement, les chercheurs en cybersécurité de Cisco Talos ont identifié un nouveau groupe baptisé Chaos ransomware, dont les outils, méthodes et objectifs sont quasiment identiques à ceux de BlackSuit.
Le rebranding n’est pas une nouveauté dans l’univers cybercriminel. Le groupe Conti s’était dissous sous la pression médiatique et sécuritaire, pour réapparaître sous forme de Royal, puis BlackSuit. Le cycle se répète aujourd’hui avec Chaos. Déjà, ce nouveau groupe a revendiqué une dizaine d’attaques, avec des rançons avoisinant les 300 000 dollars (environ 275 000 euros). Les techniques de double extorsion sont intactes, et le chiffrement s’applique aussi bien à Windows qu’à Linux, VMware ESXi ou NAS.
Cisco Talos observe une structuration professionnelle, avec des outils commerciaux (AnyDesk, LogMeIn) utilisés à des fins frauduleuses, des campagnes de phishing vocales, et des scripts PowerShell entièrement intégrés dans la chaîne d’intrusion. Le cycle technique reste le même : accès initial par phishing, élévation de privilèges, mouvement latéral par PsExec ou RDP, exfiltration, puis chiffrement.
Un héritage toxique : la persistance de l’écosystème
Le cas BlackSuit illustre une évolution permanente du paysage de la cybercriminalité. Chaque démantèlement repousse temporairement la menace, mais ne la supprime pas. Le cœur du problème réside dans la résilience de l’écosystème criminel : serveurs offshore, anonymat du darkweb, monnaies numériques non traçables, absence de juridiction universelle.
En 2025, il ne s’agit plus seulement de défendre un périmètre numérique, mais de comprendre et anticiper un mode opératoire ennemi. Les ransomwares comme BlackSuit ou Chaos ne sont pas des anomalies, mais des opérations de renseignement offensif, avec des compétences, des outils et des stratégies comparables à celles d’acteurs étatiques.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
