Un ransomware infecte le système informatique d'une entreprise de transport de San Francisco

Obligeant celle-ci à fournir le transport gratuitement

Ce week-end, pendant que plusieurs entreprises étaient au repos, la régie de transport de la ville de San Francisco, Muni, qui fournit les services de transport dans cette ville avec des bus, des trolleys, des métros légers, des cable cars et des tramways, était aux prises avec un ransomware qui frappé ses systèmes informatiques incluant celui qui gère son service de métros légers et de bus et celui de la messagerie.

L’attaque qui a été menée vendredi dernier a pris en otage le système de messagerie interne de Muni ainsi que les distributeurs de tickets de ce mode de transport affichait sur les écrans des distributeurs : « ;Vous avez été piratés, toutes les données ont été chiffrées ;». En sus, l’on pouvait également lire sur les écrans des bornes de paiements des tickets qui ont été infectés par le ransomware le message suivant : « ;Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ;». Selon les premières informations fournies, le ransomware aurait infecté 2 ;112 ordinateurs avec une variante du malware HDDCryptor.

HDDCrytor est un ransomware très virulent qui en plus de cibler les ressources dans les partages réseau telles que les lecteurs, les dossiers, les fichiers, les imprimantes, les ports série à travers le SMB, est également capable de verrouiller le lecteur entier. Pour y arriver, il écrase les données du MBR (premier secteur permettant d’amorcer le disque) et ajoute un bootloader modifié pour afficher une note de rançon au lieu d’afficher l’écran de connexion normal de la machine. Comme méthode de chiffrement, HDDCrytor utilise un outil de chiffrement qui prend en charge le chiffrement symétrique AES, les algorithmes de chiffrement Serpent et Twofish, y compris leurs combinaisons en mode XTS.

Et dans le cas de l’attaque de Muni, après avoir infecté le réseau de l’agence, il se serait attaqué au contrôleur de domaine pour ensuite infecter les systèmes Windows installés sur le réseau de l’entreprise. Une fois que le malware est parvenu à chiffrer les équipements, il les redémarre en affichant le message cité plus haut « ;Vous avez été piratés, toutes les données ont été chiffrées, Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ;».


Bien que l’on ne sache pas pour l’instant le vecteur utilisé pour infecter le réseau de Muni, certains s’avancent à dire que ce serait certainement à travers l’ouverture d’un email piégé ou un téléchargement accidentel. En conséquence à cette attaque, le métro a été offert gratuitement dans la mesure où le système de vente des tickets était non fonctionnel. Par ailleurs, vu que le système interne de l’enterprise a été entamé, les employés de l’entreprise se demandent s’ils seront payés à temps ce mois-ci.

Pour récupérer ses données, Muni avait le choix entre payer la rançon de 100 bitcoins (73 ;000 dollars) exigée par les cybercriminels ou compter sur ses propres ressources pour remettre son système sur les rails. Dans un email rédigé par les malfaiteurs, ces derniers ont déclaré que « ;Notre logiciel fonctionne de façon entièrement automatique et nous ne lançons pas d’attaques ciblées... Le réseau de la SFMTA était très ouvert et 2 ;000 serveurs/PC ont été infectés par le logiciel. Nous attendons donc le contact de toute personne responsable de la SFMTA, mais je pense qu’ils ne veulent pas d’entente. Nous fermons donc ce [compte] courriel demain ;».

Si les informations sont exactes, les responsables n’avaient aucunement l’intention de répondre au chantage des pirates depuis le début. Le dimanche, aux environs de 18 h, Paul Rose, le porte-parole de Muni a confirmé que les portails de paiements étaient opérationnels sans toutefois préciser comment ils ont été remis en état de marche. Dans un message adressé à CBS, Paul Rose rassure en affirmant « ;qu’il n’y a aucun impact sur le service de transport en commun, mais nous avons ouvert les portes tarifaires comme une précaution pour minimiser l’impact client ;». Il ajoute que « ;comme il y a enquête en cours, il ne serait pas approprié de fournir des détails supplémentaires à ce stade ;».

Nous précisons que ce n’est pas la première fois qu’une variante du malware HDDCrytor frappe une entité. En février dernier, le centre médical Hollywood Presbyterian Medical Centre à Los Angeles a fait les frais de ce ransomare.et a dû payer une rançon de 17 ;000 dollars aux pirates pour reprendre le contrôle de son système. En 2013, HDDCrytor a infecté 234 ;000 ordinateurs au Royaume-Uni, nécessitant une opération globale de la police pour le neutraliser. Comme on peut le constater, se débarrasser de HDDCrytor sur un système s’avère très difficile. Nous aurions donc bien voulu savoir comment la régie de transport de San Francisco (SFMTA) a bien pu se débarrasser de ce parasite.

Source : SFMTA, CBS, Forbes

Et vous ?

Que pensez-vous de cette attaque ?

Selon vous, comment SFMTA a pu se débarrasser de ce ransomware ?

Voir aussi

USA : l'hôpital victime de l'attaque par ransomware paye une rançon de 17 000 $ aux pirates pour reprendre le contrôle de son système informatique
Angleterre : des hôpitaux se voient obligés de suspendre leurs activités pour combattre un virus dans leur système informatique

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié