ICO inflige 14 M£ à Capita après l’attaque BlackBasta: 6+ M de dossiers compromis

Selon le blog BushidoToken (référence fournie), l’ICO a sanctionné Capita d’une amende de 14 M£ à la suite d’une attaque BlackBasta en mars 2023 ayant compromis plus de 6 millions d’enregistrements, pour un coût de remédiation pouvant atteindre 20 M£. L’analyse met en lumière des failles systémiques (alertes manquées pendant 58 heures, SOC sous-doté, segmentation AD insuffisante, recommandations de tests d’intrusion non mises en œuvre) et en tire des enseignements concrets pour les équipes sécurité.

Chaîne d’attaque et impact technique 🔗

• Vecteur initial: Qakbot livré via un JavaScript malveillant (jdmb.js), puis Cobalt Strike pour le C2.
• Escalade de privilèges via le compte ‘CAPITA\backupadmin’ (administrateur de domaine) en harvestant des identifiants Kerberos.
• Persistance et mouvement latéral à travers 8+ domaines; reconnaissance avec BloodHound et PowerShell.
• Exfiltration via SystemBC et Rclone sur les canaux C2.
• Déploiement de BlackBasta sur 1 057+ hôtes.

Défaillances et délais ⏱️

• 58 heures entre la détection et la mise en confinement.
• Absence de capacités d’isolement automatisé et pas de tiering AD.
• SOC sous-staffé (1 analyste par quart).
• Paramétrage d’outils inadéquat et recommandations de pentest non appliquées.

Impact et conformité 💼

• Amende ICO: 14 M£; coûts de récupération jusqu’à 20 M£.
• Plus de 6 millions d’enregistrements individuels compromis.

IOCs et TTPs observés 🧭

• IOCs: nom de fichier jdmb.js; compte AD compromis: CAPITA\backupadmin.
• Outils/malwares: Qakbot, Cobalt Strike, BloodHound, SystemBC, Rclone, BlackBasta; PowerShell pour l’énumération.
• TTPs: livraison via script JS, C2 avec Cobalt Strike, vol d’identifiants Kerberos, élévation de privilèges, persistance, lateral movement multi-domaines, reconnaissance AD, exfiltration chiffrée, ransomware en phase finale.

Type d’article: post-mortem orienté GRC et technique; objectif principal: analyser l’incident, ses causes et ses enseignements pour documenter l’impact et la chronologie de l’attaque.

---

🔗 Source originale : https://blog.bushidotoken.net/2025/10/lessons-from-blackbasta-ransomware.html

🖴 Archive : https://web.archive.org/web/20251019194836/https://blog.bushidotoken.net/2025/10/lessons-from-blackbasta-ransomware.html