Un ransomware attaque le réseau de transport Muni à San Francisco !

Les banlieusards de la région de San Francisco utilisant le réseau de transport Muni, ont vu fin Novembre une soudaine activité au niveau de leurs portefeuilles, lorsque les machines de paiement ont commencé à afficher “HORS SERVICE”.

Rien d’extraordinaire jusque-là, si ce n’est peut-être le message affiché sur les écrans d’ordinateur près des guichets, qui suggérait qu’il ne s’agissait pas d’un simple bug technique :

“You Hacked, ALL Data Encrypted. Contact For Key(cryptom27@yandex.com)ID:681 ,Enter.”

A San Francisco, Le système de transport public Muni comprend les trams, les trains et les célèbres Cable Cars, auxquels tout le monde pense lorsqu’il s’agit de visiter la ville.

Les moyens de transport sur rail continuait de fonctionner mais sans la possibilité de vendre des tickets, avec les portillons ouverts, permettant ainsi aux voyageurs de se déplacer gratuitement.

Au moment où le bug a enfin été résolu, les conducteurs continuaient de donner leurs itinéraires sur des papiers écrits à la main et affichés sur le panneau des communiqués d’informations.

Nous pouvons avoir une pensée pour les équipes de sécurité informatique du réseau Muni, qui ont dû réaliser rapidement qu’ils ne mangeraient peut être pas de dinde pendant ce fameux weekend de la Thanksgiving.

En clair, quelque chose est allé de travers sur le réseau Muni, mais quoi exactement ?

Les journalistes qui ont écrit à l’adresse email mentionnée sur le message affiché au niveau des écrans d’ordinateur, sont entrés en contact avec une personne supposée s’appeler “Andy Saolis” et qui réclamait au nom des cybercriminels la somme de 100 Bitcoins (soit environ 73 000€) pour fournir les clés de déchiffrement concernant les ordinateurs affectés.

Le cybercriminel en question a précisé que 2 112 ordinateurs du réseau Muni avaient été touchés par ce ransomware, soit à peu près un quart de la totalité de l’installation informatique, comprenant des ordinateurs, des portables et des serveurs hébergeant des bases de données SQL, et le système de paiement des salaires.

Ce dernier a aussi déclaré que le malware impliqué était une variante du puissant ransomware, bien que rare, HDDcryptor (aka Mamba), qui date du début 2016 mais avec un pic d’activité au mois d’Août dernier.

En général, les ransomwares chiffrent une partie ou l’intégralité des données de l’utilisateur, tout en laissant l’ordinateur opérationnel afin de pouvoir tout simplement payer la rançon demandée. Comme le montrait une analyse de Sophos en Septembre dernier, Mamba néanmoins pousse cette expérience désagréable encore un peu plus loin :

Il chiffre tous les secteurs du disque dur, y compris le Master File Table, le système d’exploitation, vos applications, tous les fichiers partagés ainsi que toutes vos données personnelles”.

Ce malware n’a rien de particulièrement sophistiqué. En effet, il a tout simplement utilisé un logiciel open source très répandu, pour réaliser cette basse besogne, sans cacher le caractère hautement malveillant de l’intention finale.

Pour résumer, à ce stade aucune de ces déclarations et aucun détail n’ont été vérifiés, et jusque-là Muni n’a fait aucune déclaration concernant l’ampleur et la cause de ce qui s’est passé durant ce weekend de la Thanksgiving.

“Il n’y a pas eu d’impact sur le trafic, sur nos systèmes de sécurité ou pour les données personnelles de nos clients”, a déclaré Muni à la BBC.

A la fin de weekend de la Thanksgiving, le service (à défaut peut être de tout le réseau informatique) semblait fonctionner correctement.

Jusque-là, les attaques par ransomwares visant le secteur public, avaient plutôt pris pour cible le domaine de la santé.

Si cela est confirmé, l’attaque de Muni pendant la Thanksgiving montrerait que les ransomwares se répandent à d’autres secteurs également.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Un ransomware attaque le réseau Muni à San Francisco ! :
Billet inspiré de Ransomware’ attack halts payments on San Francisco Muni network, par John E Dunn, Sophos NakedSecurity.