2 100 systèmes mis hors service par une cyberattaque menée contre le métro de San Francisco

L’individu malintentionné qui a infecté plus de 2 000 systèmes de la San Francisco Municipal Transportation Agency a pris l’institution par surprise : les cybercriminels exigeaient le paiement d’une énorme rançon de 100 bitcoins (près de 70 000 euros).

L’attaque a mis hors service des bornes de vente de tickets du réseau de métro léger Muni et l’agence a été contrainte de laisser les usagers voyager gratuitement tandis que le service informatique tentait de résoudre le problème. Des sources au sein de l’institution affirment que cet incident va provoquer des pertes car l’attaque a eu lieu alors que les Etats-Unis célébraient la journée de Thanksgiving, qui correspond traditionnellement à la période de l’année où les Américains se rendent dans les différents centres commerciaux pour les achats de Noël.

Les individus malintentionnés ont utilisé une version de HDDCryptor qui a infecté 2 112 systèmes, dont un poste de travail d’administrateur, des postes de travail CAD, des serveurs de messagerie électronique et d’impression, des bornes de vente de billet, des postes de travail d’employés, des terminaux du service des objets trouvés, des bases SQL et des systèmes de paiement.

Après s’être introduit dans le réseau de l’organisation et avoir exploité ses capacités de ver, HDDCryptor a atteint le contrôleur de domaine de l’organisation et a infecté le disque dur d’une partie des systèmes Windows connecté au réseau (le réseau de la société compte au total près de 8 500 systèmes). Une fois l’infection terminée, les systèmes chargeaient le message suivant en plus de Windows : « Vous avez été piraté. TOUTES vos données sont chiffrées. Contactez-nous pour la clé (cryptom27@yandex.com) ID:601 ».

HDDCryptor et plusieurs autres malwares semblables attaquent le secteur de démarrage principal (MBR) de l’ordinateur Windows. Suite à la modification du MBR, l’ordinateur ne trouve pas le secteur dans lequel se trouve le système d’exploitation et l’utilisateur ne peut donc pas utiliser l’ordinateur et accéder à ses fichiers. Cette fonction est présente chez plusieurs autres malwares dangereux, dont Petya et Satana. Il est probable que le malware a pu s’introduire dans le système après qu’un employé a ouvert un fichier exécutable malveillant joint à un message électronique.

Pour l’instant, le portefeuille Bitcoin mis en place par les criminels pour recevoir la rançon est vide et le silence de la victime a poussé les escrocs à se plaindre du manque d’initiative de l’agence. Les individus malintentionnés ont proposé de déchiffrer un ordinateur pour 1 Bitcoin afin de démontrer l’existence de la clé de déchiffrement. Dans un anglais médiocre, ils ont expliqué que l’application fonctionne en mode automatique et qu’il ne s’agit pas d’une attaque ciblée. Les escrocs ont menacé de supprimer l’adresse email utilisée pour les communications avec la victime si l’agence ne réagissait pas dans les temps. D’après les escrocs, la sécurité du réseau de l’organisation laissait vraiment à désirer.

Les représentants de la San Francisco Municipal Transportation Agency se refusent à tout commentaire tant que l’enquête est en cours.

Il ne s’agit pas de la première attaque d’envergure contre des institutions. Le chiffreur Locky a infecté plusieurs hôpitaux aux Etats-Unis et le Hollywood Presbyterian Medical Centera a du payer une rançon pour pouvoir reprendre ses opérations Toutefois, les autorités judiciaires et policières et les spécialistes de la sécurité de l’information déconseillent d’accéder aux demandes des criminels et suggèrent de ne pas payer les rançons. De plus, des chercheurs de Cisco Talos ont développé un outil accessible à tous pour protéger le MBR contre les ransomwares et autres malwares.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *