Lorsque nous parlons d’application de la loi en relation avec une attaque de ransomware, nous nous attendons à ce qu’il s’agisse d’une enquête en cours menée par la police locale et d’autres agences. Nous ne nous attendons certainement pas à ce que le service de police soit la véritable victime de l’attaque. Or, c’est exactement ce qui s’est passé dans la capitale américaine il y a plus d’une semaine, lorsque la police de Washington DC a été victime d’une attaque de ransomware.
Le département est l’une des 26 agences gouvernementales qui ont été touchées par cette menace de ransomware en 2021 jusqu’à présent. Ce n’est pas non plus la première fois que le service de police d’une grande ville américaine est victime d’une attaque. Le département de police de Miami Beach a été touché en février de l’année dernière, tandis que quelques mois plus tôt, la Policy Academy du Queens, à New York, avait été attaquée.
L’attaque contre la Policy Academy de Washington DC a utilisé ce que l’on appelle le ransomware 2.0. Avec cette nouvelle approche du ransomware, les attaquants commencent par exfiltrer les données d’une organisation avant de les chiffrer. Les données sont transférées vers un cloud sécurisé géré par les attaquants. Ceux-ci disposent ainsi d’une autre possibilité d’extorsion pour se faire payer. Si la tentative de chiffrement échoue ou si l’organisation remédie à l’attaque sans la clé obligatoire, les attaquants utilisent alors la menace de la divulgation des données pour se faire payer.
Dans le cas de la police de Washington, le groupe à l’origine de l’attaque a remis une demande de rançon, accordant à la police un délai de grâce de trois jours, après quoi il a menacé de remettre toute information volée entre les mains d’organisations criminelles. Ils ont ensuite publié des captures d’écran sur le dark web pour confirmer qu’ils avaient soulevé des données pendant l’attaque.
Ils ont affirmé être en possession de 250 Go de données comprenant des informations sensibles, notamment des dossiers personnels d’agents de police et d’informateurs, ainsi que des informations concernant des enquêtes en cours.
Selon les experts, les services de police sont une cible de plus en plus importante pour les pirates informatiques en raison de l’immense quantité d’informations qu’ils détiennent sur le public. Les pirates ciblent leurs données afin d’altérer les enquêtes en cours ou d’obtenir des informations à des fins de chantage. Les organisations criminelles sont prêtes à payer pour des données qui les aideront à échapper aux efforts de la police.
Le service de police a confirmé qu’une partie non autorisée avait accédé à son système et que des informations personnelles identifiables concernant des employés avaient été compromises. Il a assuré le public que les opérations de base n’avaient pas été affectées, mais n’a pas confirmé si l’attaque impliquait un ransomware. Ils ont également déclaré que le FBI avait été appelé pour enquêter sur cette affaire.
Qui est Babuk ?
Le groupe à l’origine de l’attaque est connu sous le nom de Babuk, une organisation de piratage dont les membres résident en Russie ou dans les pays voisins. Le groupe a été découvert au début de l’année 2021, selon un document d’analyse publié par McAfee. Le rapport attribue à ce groupe une série d’attaques similaires au cours de l’année écoulée.
Babuk est en fait plus qu’un groupe de cyberattaquants. Le code de leur ransomware est disponible en tant que service pour les affiliés prêts à payer pour le logiciel. Le groupe est entré en scène l’année dernière et a lancé la première attaque connue de ransomware en 2021, et il est actif depuis.
Pas d’échappatoire aux attaques de ransomware
L’une des attaques les plus notoires mises en œuvre par Babuk concernait la franchise de la NBA, les Houston Rockets. Le groupe a réussi à installer un ransomware sur divers systèmes internes des Rockets. Bien qu’un porte-parole de l’équipe ait déclaré que ses systèmes de défense avaient limité la portée de l’attaque et nié que des opérations de l’équipe aient été affectées, Babuk affirme avoir volé 500 Go de données dans les systèmes des Rockets. Les données volées comprenaient des contrats, des accords de non-divulgation et des données financières.
Une autre attaque en 2021 a impliqué une entreprise de défense et d’aérospatiale appelée PDI Group, basée à Dayton, dans l’Ohio. L’entreprise est un important fournisseur d’équipements militaires pour l’armée de l’air américaine et d’autres armées dans le monde. Babuk a pu obtenir un ensemble d’informations sensibles, notamment des contrats, des informations sur les paiements des clients et des données sur les employés.
La fin des attaques de ransomware de Babuk
Ironiquement, le groupe a indiqué sur son site Web que l’incident de la police de Washington serait sa dernière attaque de ransomware et qu’il ne mettrait plus son logiciel à la disposition de ses affiliés. Bien que le groupe ait cessé d’orchestrer des attaques par ransomware, il prévoit de se concentrer sur le vol de données de grandes organisations bien financées. Même si Babuk se retire de la lutte contre les ransomwares, ne vous attendez pas à ce que les attaques de ce type disparaissent.
Prévenez les attaques de ransomware avec une sécurité multicouche avancée. TitanHQ fournit une protection contre les menaces avancées et bloque les activités malveillantes telles que les attaques de ransomware.
Contactez dès aujourd’hui un expert en sécurité de TitanHQ et découvrez comment nous pouvons vous aider à protéger votre entreprise contre les attaques de ransomware. Contactez-nous.