Serco confirme l’attaque ransomware Babuk

Le géant de l’externalisation Serco a confirmé que certaines parties de son infrastructure en Europe continentale ont été touchées par une double attaque de ransomware extorsion du groupe émergent Babuk, mais les parties de son opération relatives au programme NHS Test and Trace ne sont pas affectées.

Le gang Babuk a revendiqué l’attaque le jeudi 25 octobre, selon des informations partagées avec Computer Weekly, mais Serco n’a reconnu publiquement l’incident que le dimanche 31 janvier, date à quoi un porte-parole a confirmé l’attaque à Sky News.

Le porte-parole de Serco a déclaré à la chaîne d’information que ses systèmes européens étaient isolés de ceux du Royaume-Uni et qu’il n’y avait donc eu aucun impact sur l’une ou l’autre de ses activités au Royaume-Uni.

Dans la note de rançon, les opérateurs de Babuk ont affirmé avoir eu accès aux systèmes de Serco pendant trois semaines, et avoir déjà exfiltré un téraoctet de données. Les cybercriminels ont fait des références spécifiques aux partenaires de Serco, y compris l’OTAN et l’armée belge, et ont menacé Serco de conséquences en vertu du Règlement général sur la protection des données (GDPR)

Bien que le programme d’essais et de traces du NHS n’ait pas été affecté par l’incident, miles Tappin, vice-président de ThreatConnect EMEA, a déclaré que les vulnérabilités des systèmes plus larges de Serco étaient très préoccupantes, et que l’attaque de Babuk a mis en évidence des « faiblesses inhérentes au système ».

« Alors que le gouvernement continue de travailler et de mettre en œuvre des technologies d’essai et de traçabilité, il est essentiel qu’il collabore avec les entreprises », a-t-il déclaré. « Si davantage de collecte de données personnelles est nécessaire, ils doivent avoir la sécurité à l’avant-plan de leur esprit.

« Travailler ensemble en tant qu’équipes dynamiques capables de tirer des données et des renseignements internes et externes sur les menaces provenant de sources multiples dans un même espace permet aux organisations de comprendre le paysage des menaces en constante évolution. C’est la seule façon de s’assurer qu’ils ont les ressources nécessaires pour se défendre efficacement.

Tappin a ajouté : « Pour fournir des services fiables à la société, les fournisseurs doivent intégrer la cybersécurité dans leurs modèles d’exploitation. S’ils le font correctement, ils seront alors en mesure de s’assurer que leurs programmes de cybersécurité sont efficaces. En fin de compte, il est plus facile de repérer les menaces pertinentes et les modèles d’attaque et d’obtenir le contexte nécessaire pour éclairer les stratégies d’intervention.

Une menace émergente seulement identifié récemment, Babuk – également connu sous le nom Babuk Locker – est un ransomware relativement peu sophistiqué en termes techniques, avec son codage décrit par un chercheur comme « amateur ».

Cependant, il intègre des fonctionnalités de cryptage très fortes, ce qui en fait une menace efficace. Selon BleepingComputer, au moins une de ses victimes a déjà payé une rançon de plus de 80 000 $. Ses opérateurs font clairement des recherches et ciblent leurs victimes.

Il n’est actuellement pas clair par quel vecteur Babuk arrive, bien qu’il existe des rapports non confirmés qu’il peut exploiter les services de protocole de bureau à distance exposés pour obtenir un accès initial.

Comme beaucoup d’autres opérateurs ransomware, les membres du groupe semblent être sous l’illusion qu’ils ne sont pas des criminels, se décrivant comme « une sorte de cyberpunks [sic]« qui effectuent des exercices de tests de pénétration aléatoires.

Le gang dit qu’il ne cible pas les victimes dont les revenus annuels sont de moins de 4 millions de dollars, ni les hôpitaux, à l’exception des cliniques privées de chirurgie plastique et des cabinets dentaires. Dans ce qui peut être un indice quant à l’emplacement des cybercriminels, ils prétendent également se tenir à l’écart de toute organisation caritative à but non lucratif, à l’exception des organisations LGBTQ+, ou celles associées à Black Lives Matter.