BlackSuit s’est imposé en 2023 comme l’une des menaces majeures du ransomware : d’abord, il vole vos données les plus sensibles, puis il verrouille vos systèmes, vous plaçant sous une pression maximale. Opérant selon la méthode dite de « double extorsion », ce groupe exfiltre d’abord des données sensibles avant de chiffrer les systèmes de ses victimes, multipliant ainsi la pression pour obtenir le paiement de rançons. Reconnu pour sa rapidité d’exécution et son recours intensif à des outils de pentesting offensif, BlackSuit vise en priorité les secteurs critiques et frappe là où ça fait le plus mal.

Genèse et origine commune avec Royal

  •  Les premières traces opérationnelles de BlackSuit remontent à mai 2023, mais c’est au lendemain de l’attaque contre la ville de Dallas (Texas) en juin 2023 que le groupe se distingue, succédant directement à Royal, dont les activités cessent simultanément.

  • l’Analyst Note du HC3 (HHS) met en évidence des similitudes de code significatives entre Royal et BlackSuit, confirmant une probable réorganisation ou rebranding interne

  • Personnel médical, hôpitaux et établissements d’enseignement sont les cibles privilégiés, où l’impact opérationnel et médiatique maximise à la fois la disruption et la portée de la demande de rançon.

Zoom sur les techniques avancées d’intrusion et de persistance 

Spear‑phishing ultra‑ciblé

L’attaquant commence par collecter un maximum d’informations accessibles en sources ouvertes (OSINT) sur sa victime — profil LinkedIn, publications, organigrammes internes, etc. Grâce à ces renseignements, il conçoit des messages hautement personnalisés, intégrant logos officiels de l’entreprise cible et noms de collègues ou de supérieurs hiérarchiques pour gagner en crédibilité. Les courriels contiennent souvent des pièces jointes Office dotées de macros VBA ou des PDF embarquant du JavaScript malveillant, ainsi que des liens hypertextes renvoyant vers des pages compromises hébergeant des kits d’exploit. Cette approche renforce significativement le taux de clics et d’exécution de code sur les postes visés.

Exploitation de vulnérabilités critiques

Les groupes de menace n’hésitent pas à exploiter des failles hautement médiatisées :

  • Log4Shell (CVE‑2021‑44228) : la vulnérabilité dans la bibliothèque Java Apache Log4j permet l’injection de charges utiles via JNDI. Une fois le payload chargé, l’attaquant obtient un shell inverse, lui offrant un point d’ancrage privilégié dans le réseau ciblé.

  • ProxyNotShell (CVE‑2022‑41082/41040) : ces failles sur Microsoft Exchange autorisent l’exécution directe de commandes à distance en abusant de certaines fonctionnalités SOAP et PowerShell intégrées au serveur.

  • MOVEit (CVE‑2023‑34362) : en profitant d’un défaut d’authentification dans la plateforme de transfert de fichiers MOVEit, l’attaquant peut exfiltrer automatiquement les fichiers systèmes et les bases de données avant même de déployer un chiffrement, laissant peu de temps à la défense pour réagir (source : Barracuda Blog).

Mouvements latéraux et persistance

Après avoir gagné un premier accès, les opérateurs utilisent souvent Cobalt Strike, déployant des beacons sous forme de DLL et mettant en place des tunnels chiffrés HTTP(S). Ils tirent parti de WMI ou de PsExec pour se déplacer latéralement d’un hôte à l’autre sans éveiller les soupçons. Parallèlement, des implants comme Anubis RAT ou LummaC2 sont lancés pour collecter en continu les jetons MFA, les cookies de session et les clés privées de portefeuilles cryptographiques ; ces données facilitent ensuite l’évasion des contrôles Zero‑Trust Network Access (ZTNA) et consolidant la présence de l’attaquant sur le réseau (source : CISA).

Stratégie « exfil-before-encrypt »

La phase terminale de l’attaque suit une séquence bien rodée :

  1. Exfiltration : l’ensemble des données sensibles est transféré vers des serveurs de commande & contrôle, souvent via un relai initial configuré aux États‑Unis pour brouiller la piste.

  2. Chiffrement : après avoir sécurisé les données exfiltrées, l’attaquant déploie un encryptor (BlackCat, LockBit, Hive, Akira…) pour verrouiller les fichiers restants sur les systèmes de la victime.

  3. Double pression : si la rançon n’est pas payée dans le délai imparti, les informations dérobées sont publiées sur un site de fuite dédié, maximisant l’impact financier et la réputation de l’organisation ciblée. Cette menace de divulgation renforce la pression sur les victimes pour qu’elles acceptent les exigences de l’extorqueur.

Impacts et recommandations

Les campagnes menées par BlackSuit peuvent paralysie financièrement et opérationnellement une organisation. En plus du chiffrage, la menace de divulgation de données critiques (IP, finances, secrets industriels) compromet durablement la réputation des victimes. Pour se prémunir :

  • Durcir les accès distants : mettre en place une authentification à facteurs multiples obligatoires sur RDP et VPN

  • Sensibilisation des employés : formations régulières au spear‑phishing et simulation d’attaques pour renforcer la vigilance.

  • Scanner en continu : Un scanner de vulnérabilités comme IKare réalise des scans permanents et priorisés de votre infrastructure pour détecter et corriger en urgence les vulnérabilités critiques.
  • Corréler et remédier : Un XDR comme Reveelium analyse en temps réel les comportements et logs pour détecter les menaces avancées et automatiser l’isolation, le blocage et la remédiation.

En appliquant ces mesures, les organisations peuvent réduire significativement l’efficacité des tactiques empregées par BlackSuit et par d’autres groupes similaires, tout en renforçant leur posture de sécurité globale.