Les transports en commun de San Francisco rançonnés

Le service municipal de transports de San Francisco a été victime d’un ransomware. Le pirate réclamait 73 000 dollars.

L’année 2016 aura été l’année du ransomware. Ces malwares s’implémentent sur les ordinateurs de la victime avec l’ouverture d’un mail ou d’un clic sur une image pour ensuite chiffrer les documents du PC et se répandre à travers le réseau sur d’autres machines. Pour débloquer le problème, une rançon est demandée, majoritairement en bitcoin. Personne n’est à l’abri d’un tel virus.

Le service municipal des transports en commun de San Francisco (dit Muni) vient d’en faire l’amère expérience. Cet organisme gère les métros, les tramways, les bus et fameux Cable Car de San Francisco. Vendredi, plus de 2000 PC/serveurs  du Muni ont été infectés par un ransomware (sur un peu plus de 8000). Sur l’écran des distributeurs de billets, les usagers pouvaient lire, « vous avez été piratées, toutes les données sont cryptées, contact pour la clé (cryptom27@yandex.com) ID: 681, Entrée Clé ».

muni-hack-2

Gagner de l’argent et mieux sécuriser l’IT

Conséquence de ce blocage, les voyages ont été gratuits pendant toute la journée du 26 novembre à San Francisco. Interrogé par la presse de la baie, le Muni a confirmé une attaque par ransomware contre les systèmes de paiement des gares. Afin de mener l’enquête et de réparer les machines, la gratuité des transports a été étendue pendant tout le week-end. Selon un porte-parole de l’office municipale des transports, « l’agence travaille à résoudre le problème. Il y a une enquête en cours et nous ne pouvons pas fournir de détails supplémentaires ». Nonobstant, il a indiqué que la sécurité des métros, tramways, bus n’était pas remise en cause, et que les salariés seraient payés.

Difficile de savoir qui se cache derrière l’attaque ; un média américain a contacté la personne derrière l’adresse mail publiée dans le message. Se dissimulant sous le pseudonyme « Andy Saolis », il précise que le Muni ne l’a pas contacté et qu’il fait cela « uniquement pour l’argent et pour que la société sécurise mieux son IT ». Sur la rançon demandée, il indique avoir réclamé « 100 bitcoins » soit environ 73 000 dollars pour débloquer la situation. 

Andy Saolis est un pseudonyme souvent utilisé dans les ransomwares de type HDDCryptor, qui chiffrent les disques durs et le partage réseau sur les machines Windows. Le malware est capable d’écraser les MBR des disques durs pour empêcher le système de redémarrer correctement. De plus, l’adresse-mail fournit dans le message évoque le ransomware Mamba utilisé en septembre dernier et dont le modus operandi ressemble fortement à celui utilisé sur le Muni.

A lire aussi :

Le ransomware Locky s’invite sur Facebook

Ransomwares : les entreprises françaises touchées, se distinguent