L'Université de Californie (University of California, San Francisco ou encore UCSF) a admis avoir payé à des hackers une rançon de 1,14 million de dollars après une phase de négociation pour récupérer des fichiers verrouillés par une infection par ransomware.L'université a été frappée le 1er juin par des logiciels malveillants qui ont pénétré les systèmes informatiques de l'école de médecine de l'UCSF, cette dernière travaillant entre autres sur un remède pour le Covid-19. Les administrateurs ont rapidement tenté d'isoler l'infection et de circonscrire un certain nombre de systèmes pour empêcher le ransomware de se rendre sur le réseau UCSF principal et de causer d'autres dommages.
Alors que l'Université affirmait que la cyberattaque n'a pas affecté « nos opérations de prestation de soins aux patients, le réseau global du campus ou le travail COVID-19 », les serveurs UCSF utilisés par l'école de médecine ont été chiffrés.
Les ransomwares peuvent être particulièrement destructeurs, car une fois qu'un système est compromis, le contenu est chiffré et rendu inaccessible. Les victimes sont alors confrontées à un choix : perdre potentiellement leurs fichiers (pour celles qui ne disposent pas de sauvegardes), ou payer une demande de rançon. Les cyberattaquants incluent souvent un délai pour la prise de décision, mettant explicitement plus de pression aux victimes qui envisagent de payer.
Comme le montre ce cas, les demandes de rançon peuvent atteindre des millions de dollars.
Il n'est pas recommandé aux victimes de se plier aux demandes de rançon, car cela favorise les entreprises criminelles. Les experts en cybersécurité affirment que ce type de négociations se déroule désormais dans le monde entier (parfois pour des sommes encore plus importantes) contre l'avis des forces de l'ordre, notamment le FBI, Europol et le National Cyber Security Center du Royaume-Uni.
Cependant, l'UCSF a déclaré avoir pris la « décision difficile de payer une partie de la rançon », car certaines des informations stockées sur les serveurs sont « importantes pour certains des travaux académiques que nous poursuivons en tant qu'université au service du bien public ».
Le gang Netwalker serait responsable. Netwalker à lui seul a été lié à au moins deux autres attaques de ransomwares contre des universités entre avril 2020 et mai 2020.
Dans les coulisses des négociations
La BBC a pu suivre la négociation, faite sur le Dark Web, entre Netwalker et l'université. Les acteurs malveillants ont d'abord exigé 3 millions de dollars, mais l’UCSF a proposé une offre de 780 000 dollars, rappelant que la nouvelle pandémie de coronavirus avait été « financièrement dévastatrice » pour l'institution universitaire. Cette offre, cependant, a été rejetée et au fil des échanges, les deux parties ont décidé du montant de 1 140 895 $ qui ont été payés en bitcoins. En échange du paiement, les acteurs malveillants ont fourni un outil de déchiffrement et ont déclaré qu'ils supprimeraient les données volées de ses serveurs.
Une information anonyme a permis à BBC News de suivre les négociations de rançon dans un chat en direct sur le dark web.
Le site sur le Dark Web de Netwalker utilisé pour les négociations avec les victimes
À première vue, la page d'accueil sur le Dark Web ressemble à un site Web standard de service à la clientèle, avec un onglet Foire aux questions (FAQ), une offre d'un échantillon « gratuit » de son logiciel et une option de chat en direct.
Mais il y a aussi un compte à rebours jusqu'à un moment où les hackers doublent le prix de leur rançon ou suppriment les données qu'ils ont chiffrées avec des logiciels malveillants.
Invitée à se connecter (soit par courriel, soit par une note de rançon laissée sur des écrans d'ordinateur piratés, l'UCSF a reçu le message suivant, publié le 5 juin : « Hello UCSF, ne soyez pas timides. Nous pouvons travailler de concert pour résoudre l’incident actuel ».
Six heures plus tard, l'université a demandé plus de temps et que les détails du piratage soient supprimés du blog public de Netwalker. Les hackers ce sont exécutés et ont prévenu l’université :
Notant que l'UCSF gagnait des milliards par an, les hackers ont ensuite exigé 3 millions de dollars. Mais le représentant de l'UCSF, qui peut être un négociateur spécialisé externe, a expliqué que la pandémie de coronavirus avait été « financièrement dévastatrice » pour l'université et les a suppliés d'accepter 780 000 dollars.
Ce à quoi l’interlocuteur a répondu :
« Comment...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par jackk
