Archives par mot-clé : black basta

Cybersécurité, Entreprise

Le géant BT cible d’une tentative de cyberattaque par le groupe Black Basta

BT Group, acteur majeur des télécommunications britanniques, confirme une tentative de cyberattaque, revendiquée par le groupe de ransomware Black Basta.

BT Group, pilier des télécommunications britanniques, a révélé une tentative de cyberattaque visant sa plateforme de conférence. Le groupe de ransomware Black Basta, apparu en 2022, a revendiqué l’incident, affirmant avoir exfiltré des données sensibles, notamment des informations personnelles sur les employés et des accords de non-divulgation.

Selon un porte-parole de BT, l’incident a été rapidement circonscrit à une partie spécifique de la plateforme, sans impact sur les services de conférence en direct ni sur les infrastructures critiques de l’entreprise. BT, qui emploie environ 100 000 personnes et génère plus de 20 milliards de livres sterling de chiffre d’affaires, collabore avec les autorités pour enquêter sur cet incident.

Black basta, un acteur redouté du ransomware

Apparu en 2022, le groupe de ransomware Black Basta est rapidement devenu une menace notable, ciblant des secteurs stratégiques tels que la santé et les infrastructures critiques. Son modèle repose sur le double extorsion : chiffrer les données des entreprises tout en menaçant de publier des informations sensibles sur leur site de fuites.

Dans le cas de BT, Black Basta prétend avoir obtenu des informations personnelles relatives aux employés ainsi que des accords de non-divulgation et d’autres documents sensibles. Bien que BT n’ait pas confirmé ces revendications, cette tentative montre que même les géants des télécommunications ne sont pas à l’abri des cybermenaces sophistiquées.

« Black Basta : un groupe de ransomware qui cible des secteurs stratégiques avec des méthodes de double extorsion. »

Les autorités américaines ont déjà émis des avertissements concernant Black Basta, en raison de son implication dans des attaques à grande échelle. Ce groupe continue d’évoluer, adoptant des techniques avancées pour contourner les défenses des entreprises et exploiter leurs vulnérabilités.

Une tentative d’attaque circonscrite mais préoccupante

BT a rapidement réagi en isolant la plateforme de conférence affectée, limitant ainsi l’impact de l’incident. L’entreprise a confirmé que les serveurs touchés ne prennent pas en charge ses services de conférence en direct et que les infrastructures critiques, telles que les centraux téléphoniques britanniques, n’ont pas été affectées.

Cependant, l’attaque soulève des questions sur la sécurité des données d’entreprise et les informations sensibles détenues par BT. Les fichiers présentés par Black Basta comme preuve de la compromission incluraient des informations personnelles sur les employés et des documents confidentiels, renforçant les préoccupations quant à l’exposition des données internes.

« L’incident illustre les risques croissants pour les entreprises gérant des infrastructures critiques. »

BT travaille activement avec les régulateurs et les forces de l’ordre pour enquêter sur cet incident et renforcer ses défenses. Cette réponse souligne l’importance de collaborations rapides et efficaces pour minimiser les impacts des cyberattaques.

Un rappel des menaces pour les infrastructures critiques

L’attaque contre BT s’inscrit dans un contexte de cybermenaces croissantes ciblant les entreprises gérant des infrastructures critiques. En tant que fournisseur historique de télécommunications au Royaume-Uni, BT joue un rôle central dans l’écosystème technologique national. Toute attaque visant ses systèmes pourrait avoir des conséquences graves pour les services dépendant de son infrastructure.

Les groupes de ransomware comme Black Basta exploitent les vulnérabilités des entreprises pour exfiltrer des données sensibles et exercer une pression financière et réputationnelle. Cette attaque met en évidence l’importance pour les entreprises stratégiques de renforcer leurs systèmes de sécurité, d’investir dans des solutions de détection avancées et de former leurs employés à reconnaître les menaces.

Cette tentative de compromission, bien que limitée dans son impact immédiat, est un rappel que les entreprises doivent rester vigilantes face à des acteurs cybercriminels toujours plus audacieux et sophistiqués.

Cette tentative de cyberattaque contre BT Group illustre une fois de plus les risques auxquels sont confrontées les entreprises gérant des infrastructures critiques. A voir maintenant si l’incident a bien été circonscrit.
Pour rester informé des cybermenaces et découvrir des solutions pour protéger votre organisation, abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp. Ensemble, préparons-nous face à l’évolution des cybermenaces mondiales !

backdoor, cyberattaque

Black Basta aurait des liens avec les pirates de FIN7

Des recherches sur le ransomware Black Basta démontreraient des preuves reliant le groupe de rançongiciels aux pirates informatiques FIN7, un groupe de hackers malveillants connu sous le nom de Carbanak.

Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.

Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement.

Les chercheurs de la société SentinelLabs auraient remarqué des chevauchements entre des cas apparemment différents – estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.

Les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware « privés » tels qu’avaient pu le faire Conti ou encore Evilcorp.

Ce qui n’a pas empêché ces deux entités malveillantes de disparaitre. Pour rappel, des membres du groupe CONTI feront cession aprés l’invasion Russe en Ukraine.

Parmi les outils « maison », WindefCheck.exe. Ecrit avec Visual Basic, la fonctionnalité principale repérée est d’afficher une fausse interface graphique de sécurité Windows et une icône de barre d’état système avec un état système « sain », même si Windows Defender et d’autres fonctionnalités du système sont désactivés.

Bilan, l’image permet de leurrer les utilisateurs de la machine infiltrée. Ces derniers ne voyant aucune alerte de sécurité concernant leur ordinateur.