Zoom sur Babuk - le rançongiciel Open Source

CyberSeChronicles - Le rançongiciel Babuk

France / Accédez à l'information / Publications / CyberSeChronicles - Le rançongiciel Babuk

Le groupe Babuk s’est fait remarquer en début d'année par le succès rapide de cyberattaques ciblées contre de grandes entreprises via son rançongiciel. Le tout précédé d’une exfiltration de données.

Découvrez l'analyse de nos experts Cybersécurité dans les CyberSeChronicles

Pour sa première CyberSeChronicle, l'équipe de Threat Intelligence du CERT Sogeti a choisi d'étudier Babuk, véritable cas d'école dans l'écosystème des ransomwares, illustrant la rapidité avec laquelle des cybercriminels inexpérimentés peuvent aujourd'hui maîtriser de bout en bout les techniques d'extorsion.

Les opérateurs de Babuk ont vite adopté un modèle de Ransomware-as-a-Service, plus lucratif, en recrutant des affiliés sur des forums russophones clandestins. Avec Babuk, ces cyber-criminels opèrent de la simple extorsion (chiffrement du SI) mais aussi des schémas de double extorsion (exposition des données exfiltrées vers le site web dédié à Babuk).

Au-delà des erreurs de sécurité opérationnelles dans le code source déjà soulignées par les chercheurs (surveillées de près par les opérateurs de Babuk), nous avons constaté des erreurs de configuration dans la première version de leur site d'exposition. Nous avons construit un vaccin dans un environnement de test réaliste pour empêcher le chiffrement de fichiers de la version récente de Babuk.

Retrouvez l'analyse approfondie de nos experts dans la version intégrale des CyberSeChronicles

Les CyberSeChronicles, qu'est-ce que c'est ?

Les CyberseChronicles sont des analyses approfondies, publiées deux fois par an, qui visent à mettre en lumière les groupes/malwares émergents qui représentent une menace sérieuse pour de nombreuses organisations. Afin que les différents acteurs du milieu puissent comprendre et se protéger face à des cybermenaces, ces analyses sont partagées avec les Security Operation Centers de Sogeti et la communauté cybersécurité par nos équipes spécialisées du Sogeti CERT (Threat Intelligence, Incident Response/SWAT, Purple team).

L'équipe CERT / CSIRT

Officiellement reconnue comme CERT, notre équipe de veille et de réponse aux incidents assiste nos clients dans leurs besoins d’informations sur les attaques, d’analyse des incidents et de réaction aux attaques. Elle publie régulièrement des notes d’alerte et d’analyse adaptées aux besoins des destinataires. Elle dispose des plus hautes capacités d’investigation et d’expertise sur les systèmes. En savoir +

Paramètres de cookie

Sogeti respecte votre droit à la vie privée et vous permet de choisir les catégories de cookies que nous pouvons utiliser lorsque vous visitez notre site. Utilisez la section « Paramétrez vos préférences » ci-dessous pour modifier la configuration par défaut.

Soyez toutefois conscients que le fait de choisir de ne pas activer certaines catégories de cookies peut avoir une incidence sur votre expérience de navigation sur le site et sur la disponibilité de certains services.

Paramétrez vos préférences

Cookies	Description
Registered visitor cookie	Cookie given to each registered user.
Registered visitor functionality cookie	Cookies used to remember the unique identifier given to each registered user.
Social plug-in content sharing cookie	Cookies set by services such as Facebook Connect or Twitter Button, which allow social networks users to share the content of our websites on social networks.
Unregistered visitor cookie	Cookies used to give to unregistered users a unique identifier in order to recognize them and to analyze how they use the website.
Analytic cookie	Cookies used to store URLs of the previous page visited, enabling to track users navigating from inside or from outside the website. If you click on a Sogeti advertisement on a non-Sogeti website, a cookie may be used to log which website you are on, in order to ensure our advertisements are served effectively and to measure whether our advertisements are viewed. Google Analytics: cookies set by Google analytics are used for web analytical purpose, but are not used to track individual users. For further information on how Google Analytics collects and uses information on our behalf and the right to use such cookies, please refer to the Google Analytics products and services privacy statement. If you object to your Personal Data being collected by Google Analytics, you may download and install the Google Analytics Opt-out Browser Add-on. Pardot: cookies set by Pardot are used to track users on our website. Visits are tracked for known users only. Unknown users are recorded as anonymous users. Please refer to Pardot privacy policy for any further information on their use and your rights related to the use of such cookies.