Checkmate contre les maîtres du chantage

Le 24 juillet 2025, une coalition inédite de 15 agences de renseignement et de police internationales, dont l’U.S. Homeland Security Investigations, Europol, le FBI, et les cyber-experts français de l’OFAC, a lancé l’opération « Checkmate« . Résultat : les sites de fuite et de négociation du groupe de ransomware BlackSuit ont été saisis, mettant fin à une opération d’extorsion ayant ciblé plus de 180 entités. BlackSuit, successeur de Royal/Conti, a généré plus de 500 millions de dollars (environ 460 millions d’euros) de demandes de rançon. Mais déjà, un nouveau groupe émerge : Chaos ransomware, avec des techniques et tactiques identiques. Le combat cyber continue.

L’opération Checkmate : fin de partie pour BlackSuit

Tout a commencé avec une bannière. Le 27 juillet 2025, les internautes familiers du darkweb ont vu s’afficher sur les sites .onion du groupe BlackSuit une mention sans équivoque : « This site has been seized by U.S. Homeland Security Investigations ». Ce message remplace désormais l’interface utilisée pour publier les données volées et négocier les rançons. Derrière cette fermeture numérique brutale se cache une opération mondiale baptisée Checkmate, rassemblant les efforts de services américains, français, allemands, canadiens, ukrainiens, roumains, britanniques et plus encore.

Le groupe de ransomware BlackSuit était jusqu’alors l’un des groupes les plus actifs du darkweb. Issu du gang Royal, lui-même héritier du tristement célèbre groupe Conti, il avait mis en place une infrastructure solide, combinant chiffrement des données et extorsion via publication publique sur un « leak site ».

Durant plus de deux ans, BlackSuit a imposé sa méthode : voler, chiffrer, puis menacer. Sa stratégie était simple mais redoutablement efficace : après une infiltration lente et furtive, les données étaient copiées, puis les systèmes paralysés. Les rançons exigées atteignaient régulièrement plusieurs millions d’euros, avec un record connu à 60 millions de dollars (environ 55 millions d’euros).

BlackSuit : anatomie d’une cyber-menace structurée

L’analyse technique d’une intrusion menée par BlackSuit en août 2024 révèle un schéma d’attaque rodé. Elle débute par un beacon Cobalt Strike, identifié comme RtWin64.exe, lancé sur un serveur de domaine. En moins de six heures, les cybercriminels collectent des informations système, utilisent Rubeus pour les attaques Kerberoasting et AS-REP Roasting, et exploitent Sharphound pour cartographier l’annuaire Active Directory.

L’intrusion évolue avec une rapidité inquiétante. Dix minutes après cette première reconnaissance, les pirates s’infiltrent via SMB sur un autre poste, extraient des identifiants via le processus LSASS, et répètent l’opération sur plusieurs machines. Des outils comme SystemBC sont ensuite déployés pour établir une persistance sur le réseau, souvent en modifiant les clés de registre.

Après une phase de dormance de quelques jours, le septième jour voit le domaine de commande et contrôle migrer vers une adresse AWS. D’autres beacons sont alors déployés, accompagnés de connexions RDP multiples. Le neuvième jour, un nouveau beacon PowerShell Cobalt Strike est activé. À ce stade, l’infrastructure cible est entièrement sous contrôle.

La phase finale arrive cinq jours plus tard. Les outils ADFind et Get‑DataInfo.ps1 sont utilisés pour exfiltrer des informations, puis les copies d’ombre sont effacées avec vssadmin. Enfin, le ransomware qwe.exe est déployé via le partage C$, et le chiffrement est déclenché manuellement en RDP. Des notes de rançon BlackSuit apparaissent alors sur chaque poste infecté.

Chaos ransomware : le retour du spectre

Malgré la saisie des infrastructures de BlackSuit, la menace persiste. Très rapidement, les chercheurs en cybersécurité de Cisco Talos ont identifié un nouveau groupe baptisé Chaos ransomware, dont les outils, méthodes et objectifs sont quasiment identiques à ceux de BlackSuit.

Le rebranding n’est pas une nouveauté dans l’univers cybercriminel. Le groupe Conti s’était dissous sous la pression médiatique et sécuritaire, pour réapparaître sous forme de Royal, puis BlackSuit. Le cycle se répète aujourd’hui avec Chaos. Déjà, ce nouveau groupe a revendiqué une dizaine d’attaques, avec des rançons avoisinant les 300 000 dollars (environ 275 000 euros). Les techniques de double extorsion sont intactes, et le chiffrement s’applique aussi bien à Windows qu’à Linux, VMware ESXi ou NAS.

Cisco Talos observe une structuration professionnelle, avec des outils commerciaux (AnyDesk, LogMeIn) utilisés à des fins frauduleuses, des campagnes de phishing vocales, et des scripts PowerShell entièrement intégrés dans la chaîne d’intrusion. Le cycle technique reste le même : accès initial par phishing, élévation de privilèges, mouvement latéral par PsExec ou RDP, exfiltration, puis chiffrement.

Un héritage toxique : la persistance de l’écosystème

Le cas BlackSuit illustre une évolution permanente du paysage de la cybercriminalité. Chaque démantèlement repousse temporairement la menace, mais ne la supprime pas. Le cœur du problème réside dans la résilience de l’écosystème criminel : serveurs offshore, anonymat du darkweb, monnaies numériques non traçables, absence de juridiction universelle.

En 2025, il ne s’agit plus seulement de défendre un périmètre numérique, mais de comprendre et anticiper un mode opératoire ennemi. Les ransomwares comme BlackSuit ou Chaos ne sont pas des anomalies, mais des opérations de renseignement offensif, avec des compétences, des outils et des stratégies comparables à celles d’acteurs étatiques.

L’analyse des chiffres de ZATAZ fait émerger une réalité préoccupante : ces pirates confirment la forte exposition d’organisations nord-américaines, en particulier aux États-Unis, à des incidents ou menaces affectant une grande diversité de secteurs d’activité. On retrouve pêle-mêle des entreprises industrielles (métallurgie, construction, automobile), des collectivités locales (villes, comtés, municipalités) et de nombreux acteurs du secteur public, à commencer par les écoles et districts scolaires américains, qui semblent constituer une cible de choix depuis plusieurs années. Le Canada n’est pas épargné : plusieurs sociétés de services et administrations locales s’ajoutent à la liste.

Le secteur de la santé reste massivement représenté, avec des cliniques, laboratoires, centres médicaux et organismes de retraite touchés dans plusieurs pays occidentaux : États-Unis, Belgique, Afrique du Sud. La résilience numérique de ce secteur, déjà affaiblie par le poids de la réglementation, est ainsi mise à rude épreuve. Le secteur industriel n’est pas en reste, avec la compromission d’entreprises impliquées dans la métallurgie, la logistique, l’aéronautique et la chimie, sans compter une belle brochette d’entreprises technologiques et de sociétés d’ingénierie.

À côté de ces cibles traditionnelles, on observe une vague continue d’incidents impliquant des administrations locales et territoriales des comtés américains aux villes canadiennes, signe d’une fragilité chronique du secteur public face aux attaques opportunistes ou ciblées. Les établissements scolaires, du primaire à l’université, paient un lourd tribut sur toute la période, tout comme les infrastructures critiques : compagnies d’électricité, aéroports, sociétés de gestion hydraulique et réseaux de transport. Cette tendance n’épargne ni l’Europe (Royaume-Uni, Belgique, Espagne, Pays-Bas, Allemagne) ni l’Asie (Japon, Taïwan, Chine).

Quelques sociétés du secteur financier, notamment des banques coopératives et des sociétés d’assurance, apparaissent aussi dans la liste, tout comme plusieurs acteurs de la grande distribution, de l’hôtellerie, du bâtiment ou encore de la restauration. Enfin, des acteurs publics brésiliens, africains ou d’Océanie montrent que ce phénomène n’a décidément rien de localisé, même si le continent nord-américain demeure en tête des signalements. Les pirates sont comme des bateaux de pêche. Le chalut lancé dans la mer numérique raclera et bouffera tous ce qui tombera dans le filet des malveillants.