L’année 2016 aura été l’année du ransomware. Ces malwares s’implémentent sur les ordinateurs de la victime avec l’ouverture d’un mail ou d’un clic sur une image pour ensuite chiffrer les documents du PC et se répandre à travers le réseau sur d’autres machines. Pour débloquer le problème, une rançon est demandée, majoritairement en bitcoin. Personne n’est à l’abri d’un tel virus.
Le service municipal des transports en commun de San Francisco (dit Muni) vient d’en faire l’amère expérience. Cet organisme gère les métros, les tramways, les bus et fameux Cable Car de San Francisco. Vendredi, plus de 2000 PC/serveurs du Muni ont été infectés par un ransomware (sur un peu plus de 8000). Sur l’écran des distributeurs de billets, les usagers pouvaient lire, « vous avez été piratées, toutes les données sont cryptées, contact pour la clé (cryptom27@yandex.com) ID: 681, Entrée Clé ».
Conséquence de ce blocage, les voyages ont été gratuits pendant toute la journée du 26 novembre à San Francisco. Interrogé par la presse de la baie, le Muni a confirmé une attaque par ransomware contre les systèmes de paiement des gares. Afin de mener l’enquête et de réparer les machines, la gratuité des transports a été étendue pendant tout le week-end. Selon un porte-parole de l’office municipale des transports, « l’agence travaille à résoudre le problème. Il y a une enquête en cours et nous ne pouvons pas fournir de détails supplémentaires ». Nonobstant, il a indiqué que la sécurité des métros, tramways, bus n’était pas remise en cause, et que les salariés seraient payés.
Difficile de savoir qui se cache derrière l’attaque ; un média américain a contacté la personne derrière l’adresse mail publiée dans le message. Se dissimulant sous le pseudonyme « Andy Saolis », il précise que le Muni ne l’a pas contacté et qu’il fait cela « uniquement pour l’argent et pour que la société sécurise mieux son IT ». Sur la rançon demandée, il indique avoir réclamé « 100 bitcoins » soit environ 73 000 dollars pour débloquer la situation.
Andy Saolis est un pseudonyme souvent utilisé dans les ransomwares de type HDDCryptor, qui chiffrent les disques durs et le partage réseau sur les machines Windows. Le malware est capable d’écraser les MBR des disques durs pour empêcher le système de redémarrer correctement. De plus, l’adresse-mail fournit dans le message évoque le ransomware Mamba utilisé en septembre dernier et dont le modus operandi ressemble fortement à celui utilisé sur le Muni.
A lire aussi :
Le ransomware Locky s’invite sur Facebook
Ransomwares : les entreprises françaises touchées, se distinguent
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
