Zoom sur Babuk - le rançongiciel Open Source

CyberSeChronicles - Le rançongiciel Babuk

Le groupe Babuk s’est fait remarquer en début d'année par le succès rapide de cyberattaques ciblées contre de grandes entreprises via son rançongiciel. Le tout précédé d’une exfiltration de données.

Découvrez l'analyse de nos experts Cybersécurité dans les CyberSeChronicles

Pour sa première CyberSeChronicle, l'équipe de Threat Intelligence du CERT Sogeti a choisi d'étudier Babuk, véritable cas d'école dans l'écosystème des ransomwares, illustrant la rapidité avec laquelle des cybercriminels inexpérimentés peuvent aujourd'hui maîtriser de bout en bout les techniques d'extorsion.

Les opérateurs de Babuk ont vite adopté un modèle de Ransomware-as-a-Service, plus lucratif, en recrutant des affiliés sur des forums russophones clandestins. Avec Babuk, ces cyber-criminels opèrent de la simple extorsion (chiffrement du SI) mais aussi des schémas de double extorsion (exposition des données exfiltrées vers le site web dédié à Babuk).

Au-delà des erreurs de sécurité opérationnelles dans le code source déjà soulignées par les chercheurs (surveillées de près par les opérateurs de Babuk), nous avons constaté des erreurs de configuration dans la première version de leur site d'exposition. Nous avons construit un vaccin dans un environnement de test réaliste pour empêcher le chiffrement de fichiers de la version récente de Babuk.

Retrouvez l'analyse approfondie de nos experts dans la version intégrale des CyberSeChronicles 

Les CyberSeChronicles, qu'est-ce que c'est ?  

Les CyberseChronicles sont des analyses approfondies, publiées deux fois par an, qui visent à mettre en lumière les groupes/malwares émergents qui représentent une menace sérieuse pour de nombreuses organisations. Afin que les différents acteurs du milieu puissent comprendre et se protéger face à des cybermenaces,  ces analyses sont partagées avec les Security Operation Centers de Sogeti et la communauté cybersécurité par nos équipes spécialisées du Sogeti CERT (Threat Intelligence, Incident Response/SWAT, Purple team).

L'équipe CERT / CSIRT

Officiellement reconnue comme CERT, notre équipe de veille et de réponse aux incidents assiste nos clients dans leurs besoins d’informations sur les attaques, d’analyse des incidents et de réaction aux attaques. Elle publie régulièrement des notes d’alerte et d’analyse adaptées aux besoins des destinataires. Elle dispose des plus hautes capacités d’investigation et d’expertise sur les systèmes. En savoir + 

Print Email