Contexte — Le cherhceur en cybersécurité Kevin Beaumont publie sur son blog DoublePulsar une analyse du jugement de l’ICO infligeant 14 M£ à Capita pour l’incident de ransomware Black Basta, retenant une « négligence » en cybersécurité et soulignant de graves défaillances opérationnelles, notamment dans le SOC. Le montant, initialement visé au maximum prévu par le RGPD, a été réduit notamment en raison de la capacité de paiement de Capita.

L’ICO relève que Capita, fournisseur clé du gouvernement britannique et prestataire d’un service de SOC managé, a failli sur son propre SOC — identifié comme la défaillance principale. Malgré des alertes initiales à haute criticité (« Threat Alert High », « Credential access », « Lateral movement »), aucune réponse n’a été apportée pendant plus de 58 heures, avec un seul analyste SOC en service sur une période de plus de 50 heures. Le régulateur note qu’en six mois, Capita n’avait jamais respecté son SLA interne pour les tickets P2 et estime que l’alerte aurait dû être traitée au niveau de priorité le plus élevé. Capita a affirmé que l’EDR Trellix avait immédiatement contenu le système, mais n’a pas fourni de preuves au regard de la latéralisation et de l’accès domaine admin constatés.

Sur l’intrusion, l’accès initial est attribué à Qakbot. Le rapport fait état de mouvements latéraux et d’une compromission d’Active Directory avec élévation de privilèges jusqu’à des comptes administrateurs de domaine. Des outils tels que SystemBC (canal d’exfiltration), rclone (copie de données) et BloodHound (cartographie AD) ont été observés.

Impact données: l’ICO indique que les données de plus de 6 millions de personnes ont été exfiltrées, pour près de 1 To retiré le 30 mars. Les catégories comprennent notamment des contrôles de casier judiciaire, orientation sexuelle, documents politiques et données biométriques — des informations susceptibles de causer des préjudices. Dans le même temps, Capita communiquait publiquement qu’il « n’y a[vait] aucune preuve » de compromission de données et que le problème « affect[ait] principalement l’accès à Microsoft 365 », alors que l’AD interne était compromis et que l’entreprise avait perdu l’accès à ses comptes et systèmes internes.

Enseignements mis en avant: le régulateur lie l’amende à l’incapacité de Capita à respecter ses propres SLA SOC, à une priorisation inadaptée des alertes critiques, et à l’absence de mesures empêchant la latéralisation et l’élévation de privilèges. DoublePulsar relève aussi des « key learnings » opérationnels explicités dans la décision et le billet (classification la plus élevée pour les signaux liés au ransomware et investigation complète de toute latéralisation).

IOCs et TTPs observés

  • Malware/outils: Black Basta (ransomware), Qakbot, SystemBC, rclone, BloodHound
  • TTPs: accès initial via Qakbot; mouvements latéraux; élévation de privilèges jusqu’admin de domaine; compromission d’Active Directory; exfiltration ~1 To via SystemBC/rclone; détection initiale avec alertes haute criticité non traitées.

Conclusion — Il s’agit d’une analyse spécialisée d’un incident de conformité, centrée sur les constats de l’ICO et sur les éléments factuels de préparation et de réponse mis en lumière.

🔗 Source originale : https://doublepulsar.com/what-organisations-can-learn-from-the-record-breaking-fine-over-capitas-ransomware-incident-6afbdfcdd35b