Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un ransomware infecte le système informatique d'une entreprise de transport de San Francisco
Obligeant celle-ci à fournir le transport gratuitement

Le , par Olivier Famien

61PARTAGES

5  0 
Ce week-end, pendant que plusieurs entreprises étaient au repos, la régie de transport de la ville de San Francisco, Muni, qui fournit les services de transport dans cette ville avec des bus, des trolleys, des métros légers, des cable cars et des tramways, était aux prises avec un ransomware qui frappé ses systèmes informatiques incluant celui qui gère son service de métros légers et de bus et celui de la messagerie.

L’attaque qui a été menée vendredi dernier a pris en otage le système de messagerie interne de Muni ainsi que les distributeurs de tickets de ce mode de transport affichait sur les écrans des distributeurs : « ;Vous avez été piratés, toutes les données ont été chiffrées ;». En sus, l’on pouvait également lire sur les écrans des bornes de paiements des tickets qui ont été infectés par le ransomware le message suivant : « ;Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ;». Selon les premières informations fournies, le ransomware aurait infecté 2 ;112 ordinateurs avec une variante du malware HDDCryptor.

HDDCrytor est un ransomware très virulent qui en plus de cibler les ressources dans les partages réseau telles que les lecteurs, les dossiers, les fichiers, les imprimantes, les ports série à travers le SMB, est également capable de verrouiller le lecteur entier. Pour y arriver, il écrase les données du MBR (premier secteur permettant d’amorcer le disque) et ajoute un bootloader modifié pour afficher une note de rançon au lieu d’afficher l’écran de connexion normal de la machine. Comme méthode de chiffrement, HDDCrytor utilise un outil de chiffrement qui prend en charge le chiffrement symétrique AES, les algorithmes de chiffrement Serpent et Twofish, y compris leurs combinaisons en mode XTS.

Et dans le cas de l’attaque de Muni, après avoir infecté le réseau de l’agence, il se serait attaqué au contrôleur de domaine pour ensuite infecter les systèmes Windows installés sur le réseau de l’entreprise. Une fois que le malware est parvenu à chiffrer les équipements, il les redémarre en affichant le message cité plus haut « ;Vous avez été piratés, toutes les données ont été chiffrées, Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ;».


Bien que l’on ne sache pas pour l’instant le vecteur utilisé pour infecter le réseau de Muni, certains s’avancent à dire que ce serait certainement à travers l’ouverture d’un email piégé ou un téléchargement accidentel. En conséquence à cette attaque, le métro a été offert gratuitement dans la mesure où le système de vente des tickets était non fonctionnel. Par ailleurs, vu que le système interne de l’enterprise a été entamé, les employés de l’entreprise se demandent s’ils seront payés à temps ce mois-ci.

Pour récupérer ses données, Muni avait le choix entre payer la rançon de 100 bitcoins (73 ;000 dollars) exigée par les cybercriminels ou compter sur ses propres ressources pour remettre son système sur les rails. Dans un email rédigé par les malfaiteurs, ces derniers ont déclaré que « ;Notre logiciel fonctionne de façon entièrement automatique et nous ne lançons pas d’attaques ciblées... Le réseau de la SFMTA était très ouvert et 2 ;000 serveurs/PC ont été infectés par le logiciel. Nous attendons donc le contact de toute personne responsable de la SFMTA, mais je pense qu’ils ne veulent pas d’entente. Nous fermons donc ce [compte] courriel demain ;».

Si les informations sont exactes, les responsables n’avaient aucunement l’intention de répondre au chantage des pirates depuis le début. Le dimanche, aux environs de 18 h, Paul Rose, le porte-parole de Muni a confirmé que les portails de paiements étaient opérationnels sans toutefois préciser comment ils ont été remis en état de marche. Dans un message adressé à CBS, Paul Rose rassure en affirmant « ;qu’il n’y a aucun impact sur le service de transport en commun, mais nous avons ouvert les portes tarifaires comme une précaution pour minimiser l’impact client ;». Il ajoute que « ;comme il y a enquête en cours, il ne serait pas approprié de fournir des détails supplémentaires à ce stade ;».

Nous précisons que ce n’est pas la première fois qu’une variante du malware HDDCrytor frappe une entité. En février dernier, le centre médical Hollywood Presbyterian Medical Centre à Los Angeles a fait les frais de ce ransomare.et a dû payer une rançon de 17 ;000 dollars aux pirates pour reprendre le contrôle de son système. En 2013, HDDCrytor a infecté 234 ;000 ordinateurs au Royaume-Uni, nécessitant une opération globale de la police pour le neutraliser. Comme on peut le constater, se débarrasser de HDDCrytor sur un système s’avère très difficile. Nous aurions donc bien voulu savoir comment la régie de transport de San Francisco (SFMTA) a bien pu se débarrasser de ce parasite.

Source : SFMTA, CBS, Forbes

Et vous ?

Que pensez-vous de cette attaque ?

Selon vous, comment SFMTA a pu se débarrasser de ce ransomware ?

Voir aussi

USA : l'hôpital victime de l'attaque par ransomware paye une rançon de 17 000 $ aux pirates pour reprendre le contrôle de son système informatique
Angleterre : des hôpitaux se voient obligés de suspendre leurs activités pour combattre un virus dans leur système informatique

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 29/11/2016 à 8:38
Euh, sauf que si l'article DVP ainsi que l'article source parlent de menaces en vue d'être payé, la traduction comme le mail original vont complètement à rebours de cette annonce : les hackers critiquent le manque de sécurité du système et menacent de partager les données si ce problème n'est pas corrigé. Aucune requête de paiement n'est formulée. Ils demandent même à la fin des dons de la part de ceux qui sont d'accord avec eux, ce qui n'aurait tout simplement pas de sens dans le cadre d'une menace. C'est un mail de Robin des Bois, pas une menace pour être payé.

Soit j'ai loupé un truc, soit les chroniqueurs (DVP comme source) ont besoin d'améliorer leurs capacités de lecture.
3  0 
Avatar de Jonyjack
Membre averti https://www.developpez.com
Le 29/11/2016 à 10:53
Citation Envoyé par Matthieu Vergne Voir le message
Aucune requête de paiement n'est formulée. Ils demandent même à la fin des dons de la part de ceux qui sont d'accord avec eux, ce qui n'aurait tout simplement pas de sens dans le cadre d'une menace.
+1

Soit il manque un bout, soit Olivier n'a pas compris sa propre traduction.
Ceci dit, quitte à balancer un ransomware, c'est bizarre de ne pas utiliser ces fameuses données pour obtenir de l'argent, sauf si Muni a payé sans le dire pour enlever HDDCrypt (donc les pirates ne veulent pas surenchérir avec une deuxième demande de rançon)
2  0 
Avatar de Aurelien Plazzotta
Membre extrêmement actif https://www.developpez.com
Le 29/11/2016 à 13:39
Il est également possible que la société de transport ait modifié le courrier électronique original du groupe de hackers en vue de les tourner en ridicule dans la presse et gagner du temps le temps que la police identifie les activistes et libère la pression qui pèse sur SFMTA.
Les sources de l'article ne citent que l'unique point vue de Muni, pas celui des hackers.
1  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 29/11/2016 à 15:15
Citation Envoyé par kilroyFR Voir le message
est-ce que ce genre de probleme peut arriver si a la place de PC Windows les equipements/postes de travail fonctionnaient sous Linux ?
Croire que l'usage de Linux vous protège des cybercriminels est un mythe!
1  0 
Avatar de psychadelic
Expert confirmé https://www.developpez.com
Le 21/05/2018 à 16:04
Citation Envoyé par jonnyevans015 Voir le message
Vérifiez également ce site..
Pourquoi devrait-on vérifier ce site ? il est aussi infecté et on doit le vérifier pour toi ?
1  0 
Avatar de kilroyFR
Membre éclairé https://www.developpez.com
Le 29/11/2016 à 13:03
est-ce que ce genre de probleme peut arriver si a la place de PC Windows les equipements/postes de travail fonctionnaient sous Linux ?
1  1 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 29/11/2016 à 15:55
Et comme tout mythe il a sa part de vérité.
0  0 
Avatar de marius591
Candidat au Club https://www.developpez.com
Le 30/11/2016 à 4:20
JE pense qu'ils non pas vraiment de quoi influencé l'entreprise !!
0  0 
Avatar de marius591
Candidat au Club https://www.developpez.com
Le 30/11/2016 à 4:29
<Et comme tout mythe il a sa part de vérité.>
Bien-sure !! tout personne a un sécret
0  0 
Avatar de JackJnr
Membre confirmé https://www.developpez.com
Le 30/11/2016 à 16:25
Citation Envoyé par Matthieu Vergne Voir le message
Et comme tout mythe il a sa part de vérité.
Je suis un adepte convaincu du manchot mais niveau sécurité je ne m'y connais pas du tout. Vu que tu es chercheur en sécurité d'après ton profil, tu aurais des exemples qui montreraient une meilleure sécurisation de Linux vs Windows stp (distros et/ou noyau) ? J'ai toujours voulu clarifier ce point de mon côté.
0  0