Ransomware : le chef du gang Black Basta identifié après une vaste opération policière

Une opération menée en Ukraine avec l’aide des polices européennes a permis d’identifier le dirigeant présumé de Black Basta, un groupe majeur du ransomware. Impliqué dans plus de 600 attaques, le suspect fait désormais l’objet d’une traque internationale.

Un coup dur porté à l’un des géants du ransomware

Le monde de la cybercriminalité fonctionne souvent dans l’ombre, mais il arrive parfois que la lumière soit braquée sur ceux qui tirent réellement les ficelles. C’est exactement ce qui vient de se produire avec Black Basta, un groupe considéré comme l’un des plus dangereux acteurs du ransomware ces dernières années.

À la suite d’une opération de police d’envergure menée en Ukraine avec le soutien de partenaires européens, les enquêteurs sont parvenus à identifier l’homme présenté comme le chef de cette organisation criminelle. Une avancée majeure dans un dossier qui concerne des centaines d’attaques contre de grandes entreprises à travers le monde.

Black Basta, un héritier direct des grands gangs du passé

Black Basta n’est pas apparu par hasard. Le groupe a émergé en 2022, dans un paysage déjà marqué par de grandes organisations criminelles spécialisées dans le ransomware. Il est aujourd’hui considéré comme l’un des successeurs directs de Conti, un ancien mastodonte du secteur.

Conti lui-même était issu des cendres du gang Ryuk, disparu en 2020. Puis, quelques années plus tard, la guerre en Ukraine et des conflits internes ont provoqué l’implosion de Conti. Comme souvent dans ce milieu, la fin d’un groupe ne signifie pas la disparition de ses membres, mais plutôt leur dispersion et la création de nouvelles structures. Black Basta s’inscrit clairement dans cette continuité.

Depuis sa création, le groupe s’est spécialisé dans ce que l’on appelle la « double extorsion » : non seulement les pirates chiffrent les systèmes de leurs victimes, mais ils volent aussi des données et menacent de les publier si la rançon n’est pas payée. Une stratégie redoutablement efficace, qui a déjà fait plus de 600 victimes parmi des entreprises de grande taille.

Une opération coordonnée en Ukraine

Pour tenter d’enrayer cette mécanique bien huilée, les forces de l’ordre ukrainiennes et allemandes ont monté une opération conjointe, avec l’appui d’Europol et d’Interpol. L’objectif : frapper le réseau à la source et identifier ses principaux rouages.

Les enquêteurs ont mené une série de perquisitions dans l’ouest de l’Ukraine, notamment dans les régions d’Ivano-Frankivsk et de Lviv, situées non loin de la frontière polonaise. Ces interventions visaient les domiciles de deux cybercriminels présentés comme des membres actifs du gang.

Ce type d’opération ressemble souvent à un puzzle géant : chaque arrestation, chaque ordinateur saisi peut apporter une pièce supplémentaire permettant de remonter la chaîne de commandement.

Le rôle clé des deux suspects perquisitionnés

Selon les éléments de l’enquête, les deux individus visés jouaient un rôle central dans les attaques. Leur mission consistait à trouver le moyen d’entrer dans les systèmes informatiques des futures victimes.

Concrètement, ils se concentraient sur la recherche de failles de sécurité et leur exploitation. Ils s’étaient notamment spécialisés dans le déchiffrement de mots de passe protégés par des algorithmes. Une fois ces accès récupérés, ils se connectaient aux comptes d’employés, pénétraient dans les réseaux internes des entreprises et étendaient progressivement leurs privilèges.

C’est un peu comme s’ils trouvaient d’abord une clé oubliée sous le paillasson, puis copiaient d’autres clés à l’intérieur du bâtiment, jusqu’à pouvoir ouvrir toutes les portes sans éveiller de soupçons.

Du matériel saisi et des indices précieux

Lors des perquisitions, la police a mis la main sur plusieurs dispositifs de stockage ainsi que sur des appareils contenant des cryptomonnaies. L’ensemble du matériel a été saisi et placé sous scellés pour être analysé en détail.

Ces données, parfois chiffrées ou dissimulées, sont souvent une mine d’or pour les enquêteurs. Elles permettent de retracer des communications, d’identifier d’autres membres du réseau et, surtout, de comprendre qui donne réellement les ordres.

C’est en exploitant ces éléments que les autorités ont pu remonter jusqu’à l’homme présenté comme le chef de Black Basta.

Le dirigeant de Black Basta enfin identifié

D’après les informations communiquées par les enquêteurs, le gang serait dirigé par Oleg Evgenievich Nefedov, un ressortissant russe âgé de 35 ans. Les autorités allemandes et ukrainiennes le désignent désormais officiellement comme le chef de l’organisation.

Sur le dark web, l’homme utiliserait de nombreux pseudonymes, une pratique courante dans ces milieux pour brouiller les pistes et compliquer les investigations. Mais derrière ces identités multiples se cacherait un seul et même chef d’orchestre.

Son rôle dépasse largement celui d’un simple technicien. Il serait à la fois le fondateur et le chef opérationnel du groupe : c’est lui qui choisirait les cibles, recruterait les affiliés, répartirait les tâches, mènerait les négociations avec les victimes et redistribuerait ensuite l’argent des rançons aux différents participants.

Tout indique également qu’il faisait déjà partie des équipes de Conti, ce qui renforce l’idée d’une continuité entre les grandes organisations du ransomware.

Une traque désormais internationale

L’identification du suspect marque une étape importante, mais elle ne signifie pas pour autant qu’il est hors d’état de nuire. Oleg Evgenievich Nefedov vient d’être ajouté à la liste des personnes les plus recherchées par Europol, l’agence de police européenne.

Interpol a également émis à son encontre une notice rouge. Ce type d’alerte internationale demande aux forces de l’ordre du monde entier de localiser et d’arrêter provisoirement l’individu concerné, dans le but de permettre une extradition, en l’occurrence vers l’Allemagne.

C’est l’un des niveaux de coopération policière les plus élevés, réservé aux affaires considérées comme particulièrement graves.

Un refuge hors d’atteinte, pour l’instant

Selon les dernières informations disponibles, le suspect se trouverait actuellement en Russie. Une situation qui complique fortement la tâche des autorités étrangères, car ce pays n’extrade pas systématiquement ses ressortissants.

Autrement dit, même identifié et recherché, le chef présumé de Black Basta reste pour le moment hors de portée directe des polices européennes. Cela ne signifie pas pour autant que le dossier est clos : ses déplacements, ses contacts et ses activités financières peuvent désormais être surveillés de beaucoup plus près.

Pourquoi cette identification est cruciale

Dans la lutte contre les gangs de ransomware, arrêter des exécutants est utile, mais identifier les décideurs est bien plus stratégique. Ce sont eux qui organisent, financent et structurent les attaques à grande échelle.

Mettre un nom et un visage sur le chef d’une organisation comme Black Basta, c’est affaiblir tout l’édifice. Même si l’homme n’est pas immédiatement arrêté, son anonymat est brisé, ses marges de manœuvre se réduisent et la pression internationale augmente.

Un signal fort envoyé à l’écosystème cybercriminel

Cette affaire montre aussi que les autorités ne se contentent plus de réagir après les attaques. Elles investissent de plus en plus dans des enquêtes longues, complexes et transfrontalières pour remonter jusqu’aux structures dirigeantes.

Pour les entreprises, cela ne change rien à une réalité simple : la menace reste élevée. Mais pour les groupes criminels, le message est clair. Même en opérant depuis l’ombre, même en multipliant les pseudonymes et les relais, il devient de plus en plus difficile de rester invisible indéfiniment.

Une bataille encore loin d’être terminée

Black Basta a peut-être perdu une partie de son secret, mais l’écosystème du ransomware, lui, reste très actif. D’autres groupes existent, d’autres émergeront probablement, souvent issus des mêmes cercles.

L’identification du chef présumé de Black Basta est donc une victoire importante, mais elle s’inscrit dans une guerre de longue haleine. Une guerre où chaque information, chaque serveur saisi et chaque arrestation compte.

Et où, plus que jamais, la coopération internationale apparaît comme l’une des armes les plus efficaces face à une criminalité qui, elle, ne connaît aucune frontière.