Une attaque ransomware provoque que le métro de San Francisco offre des tours gratuits

0

Samedi dernier, le métro de San Francisco a offert des tours gratuits à tous les passagers. Mais il n’a pas été une offre tardive liée au Black Friday, il n’était pas non plus un conseil de l’Office Municipal ni une campagne des transports de San Francisco (MUNI). En fait, il a été causé par une attaque de ransomware, qui a promis des systèmes de paiement et de moniteurs dans les stations, ce qui empêche les voyageurs de payer pour utiliser le service.

La société municipale, MUNI, avait reçu, selon affirme SFGate, une attaque de ransomware contre leurs systèmes, qui a réussi à descendre les distributeurs de billets, alors ils ont dû «donner» des billets au cours de la journée du samedi. Des techniciens de compteurs ont dû mettre en place des signes sur les machines annonçant que le «métro était libre», sans préciser le motif.

Hier, l’entreprise municipale a rendu elle-même publique qu’elle avait subi cette attaque, qui a déjà commencé à détecter vendredi 25, quand ils ont réalisé qu’il y avait un problème de sécurité potentiel avec l’un de ses systèmes, y compris un email. Ils assurent que les attaquants ne sont pas venus de l’extérieur, mais qu’ils n’ont pas réussi à transgresser le pare-feu, et donc, il n’y a pas des systèmes de paiement des clients touchés.

Les écrans du métro les clients ont pu lire ce message: « You Hacked, ALL Data Encrypted. Contact For Key(cryptom27@yandex.com)ID:681 ,Enter ». En fin de compte, cela veut dire que toutes les données sont cryptées.

Suite au blocage d’un quart de ses ordinateurs, la régie s’est vue contrainte d’offrir les transports à ses utilisateurs pendant une journée, alors que les hackers réclamaient une somme de 100 bitcoins soit environ 70 000 dollars ou 66 000 euros, pour libérer les ordinateurs de leur chiffrement. La situation s’est toutefois débloquée assez vite notamment car la régie disposait d’une sauvegarde complète de son système qui a été redéployée sur son réseau.

Cette attaque montre le mode opératoire classique de ransomware. Il a probablement été envoyé vers un ou des employés de la régie via un email de phishing. Dès lors que cet email est parvenu à franchir les outils de détection et de filtrage de la régie, le succès de l’attaque reposait uniquement sur la vigilance des employés. Régis Bénard, Consultant technique de Vade Secure, l’éditeur français spécialisé dans les solutions de protection des boîtes de messagerie commente que « Dans ce cas, un employé de la société s’est certainement laissé piéger par un email lui demandant d’ouvrir une pièce jointe… pour libérer le ransomware » . La suite est connue: le malware chiffre les machines pour les rendre inutilisables et demande à la société victime le paiement d’une rançon pour libérer les ordinateurs, serveurs, etc. de leur chiffrement.

sfgate

Régis Bénard affirme que « Le ransomware est la menace numéro 1 pour les entreprises » . En septembre dernier, l’agence européenne de Police, Interpol, confirmait dans son rapport annuel que « le ransomware était maintenant la première menace en Europe », tout en ajoutant que cela allait empirer dans les mois et années à venir. N’oublions pas que, selon l’étude Barkly, le ransomware a augmenté 4 fois plus entre 2015 et 2016.

Preuve de cette tendance, le nombre de variantes de ransomware a fortement augmenté, et l’on en décompte pas moins de 120 aujourd’hui. Le ransomware est devenu une véritable épidémie surtout si on tient en compte le niveau de technicité de ces attaques qui a augmenté également les derniers mois et les hackers les font évoluer très rapidement dans le temps pour trouver de nouvelles parades aux outils de détection.

A titre d’exemple, Locky le malware le plus répandu en France a par exemple fait son apparition sur Facebook et LinkedIn. L’épidémie de ransomware n’est pas prête de ralentir, donc, le nombre de victimes potentielles s’annonce ainsi considérable. Concernant ce dernier cas d’hacking, la société Muni bénéficiait d’un système de sauvegarde complet de son système d’information, cette pratique est une base indispensable pour toutes les entreprises.

Par contre, comme nous avons il y a quelques jours, la plupart des professionnels de la sécurité pensent qu’il est plus économique et moins perturbant pour l’entreprise de payer la rançon pour récupérer leurs données, plutôt que d’investir dans des solutions de sécurité informatique.

Mais, avoir un système de sauvegarde permet de récupérer tout l’historique de ses données, depuis la dernière sauvegarde, et non de risquer de perdre l’ensemble de ses données et ainsi de mettre en péril son activité. Ce système a permet à la société Muni de ne pas payer une rançon que, en effet, ne garantit en aucun cas le déblocage de son système, ni la restitution de ses données.

Ce cas nous rappelle également que pour se protéger face au ransomware, il faut tout d’abord bien se protéger contre son mode de propagation privilégié : l’email de phishing. Les emails avec des pièces jointes malveillantes, n’ont pas non plus cessé d’augmenter. À l’heure actuelle, la plupart des programmes malveillants sont détectés de manière proactive par moyens automatiques mais si le danger n’est pas détecté, vous devez savoir quoi faire car le phishing est l’une des attaques les plus anciennes, mais aussi des plus rentable pour les cybercriminels.  

Cela passe pour augmenter le niveau de vigilance des utilisateurs. Lorsque l’on sait qu’il ne faut pas plus de 80 secondes après le lancement d’une attaque de masse pour que les premiers clics sur le lien frauduleux n’interviennent, et que la moitié des victimes de phishing cliqueront sur le lien frauduleux moins d’une heure après le lancement de l’attaque (source étude Verizon), l’éducation des salariés doit encore être une priorité pour les entreprises.  

L’expert Vade Secure précise quelques réflexes simples à acquérir pour lutter contre le ransomware et le phishing:

  • N’ouvrir les pièces jointes suspectes (fichiers .zip, .xls ou .doc.) que si l’expéditeur est confirmé.
  • Supprimer le message d’un expéditeur suspect inconnu sans y répondre.
  • Refuser de confirmer l’accusé de réception dans le cas d’un expéditeur inconnu suspect (cela risquerait de valider et diffuser l’adresse email de l’utilisateur à son insu).
  • Remonter les spam auprès de son service informatique afin qu’ils soient transmis aux prestataires chargés de la protection des messageries pour une prise en compte dans leurs technologies de filtrage.

Identifier les nouveaux types de ransomware le plus rapidement possible est l’objectif de tous les éditeurs de solutions antivirus. Régis Bénard soutient que « Les solutions de Vade Secure permettent de se protéger des ransomware avant même que ceux-ci n’aient été identifiés » car ils travaillent sur plusieurs éléments :

  •  L’analyse de l’email reçu (sa réputation, sa méthode d’envoi, son volume d’envoi, etc.). Sans même avoir besoin d’analyser la pièce jointe, nous sommes capables d’identifier qu’un email est illégitime et le filtrer.
  •  L’analyse de la pièce jointe qui n’est pas le virus directement, mais un dropper (fichier permettant de télécharger ensuite le virus). Les droppers sont souvent des documents Word contenant des macros ou des fichiers .js. Grâce à une analyse heuristique, nous sommes en mesure d’identifier des éléments qui sont généralement utilisés dans des mails dangereux et les bloquer.
  •  L’analyse des liens contenus dans l’email afin d’identifier le contenu vers lequel un email tenterait de rediriger une personne. Il arrive que l’email ne contienne aucune pièce jointe mais seulement à lien pour aller télécharger le virus ».

Bien que vous ayez une solution antivirus que vous protège face au ransomware, il est intéressant aussi de mettre en œuvre également des mesures de sécurité. Voici des conseils de base.

About Author

Monica Valle

Journaliste spécialisée en technologie et cybersécurité. Directrice de Globb Security et présentatrice du programme sur sécurité informatique et technologie Mundo Hacker. Twitter: @monivalle.

Leave A Reply