Un ransomware infecte le système informatique d’une entreprise de transport de San Francisco

**Olivier Famien** · 28/11/2016, 19h44

Un ransomware infecte le système informatique d’une entreprise de transport de San Francisco,
obligeant celle-ci à fournir le transport gratuitement

Ce week-end, pendant que plusieurs entreprises étaient au repos, la régie de transport de la ville de San Francisco, Muni, qui fournit les services de transport dans cette ville avec des bus, des trolleys, des métros légers, des cable cars et des tramways, était aux prises avec un ransomware qui frappé ses systèmes informatiques incluant celui qui gère son service de métros légers et de bus et celui de la messagerie.

L’attaque qui a été menée vendredi dernier a pris en otage le système de messagerie interne de Muni ainsi que les distributeurs de tickets de ce mode de transport affichait sur les écrans des distributeurs : « Vous avez été piratés, toutes les données ont été chiffrées ». En sus, l’on pouvait également lire sur les écrans des bornes de paiements des tickets qui ont été infectés par le ransomware le message suivant : « Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ». Selon les premières informations fournies, le ransomware aurait infecté 2 112 ordinateurs avec une variante du malware HDDCryptor.

HDDCrytor est un ransomware très virulent qui en plus de cibler les ressources dans les partages réseau telles que les lecteurs, les dossiers, les fichiers, les imprimantes, les ports série à travers le SMB, est également capable de verrouiller le lecteur entier. Pour y arriver, il écrase les données du MBR (premier secteur permettant d’amorcer le disque) et ajoute un bootloader modifié pour afficher une note de rançon au lieu d’afficher l’écran de connexion normal de la machine. Comme méthode de chiffrement, HDDCrytor utilise un outil de chiffrement qui prend en charge le chiffrement symétrique AES, les algorithmes de chiffrement Serpent et Twofish, y compris leurs combinaisons en mode XTS.

Et dans le cas de l’attaque de Muni, après avoir infecté le réseau de l’agence, il se serait attaqué au contrôleur de domaine pour ensuite infecter les systèmes Windows installés sur le réseau de l’entreprise. Une fois que le malware est parvenu à chiffrer les équipements, il les redémarre en affichant le message cité plus haut « Vous avez été piratés, toutes les données ont été chiffrées, Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ».

Nom : sfmta_infection.jpg
Affichages : 2555
Taille : 30,4 Ko

Bien que l’on ne sache pas pour l’instant le vecteur utilisé pour infecter le réseau de Muni, certains s’avancent à dire que ce serait certainement à travers l’ouverture d’un email piégé ou un téléchargement accidentel. En conséquence à cette attaque, le métro a été offert gratuitement dans la mesure où le système de vente des tickets était non fonctionnel. Par ailleurs, vu que le système interne de l’enterprise a été entamé, les employés de l’entreprise se demandent s’ils seront payés à temps ce mois-ci.

Pour récupérer ses données, Muni avait le choix entre payer la rançon de 100 bitcoins (73 000 dollars) exigée par les cybercriminels ou compter sur ses propres ressources pour remettre son système sur les rails. Dans un email rédigé par les malfaiteurs, ces derniers ont déclaré que « Notre logiciel fonctionne de façon entièrement automatique et nous ne lançons pas d’attaques ciblées... Le réseau de la SFMTA était très ouvert et 2 000 serveurs/PC ont été infectés par le logiciel. Nous attendons donc le contact de toute personne responsable de la SFMTA, mais je pense qu’ils ne veulent pas d’entente. Nous fermons donc ce [compte] courriel demain ».

Si les informations sont exactes, les responsables n’avaient aucunement l’intention de répondre au chantage des pirates depuis le début. Le dimanche, aux environs de 18 h, Paul Rose, le porte-parole de Muni a confirmé que les portails de paiements étaient opérationnels sans toutefois préciser comment ils ont été remis en état de marche. Dans un message adressé à CBS, Paul Rose rassure en affirmant « qu’il n’y a aucun impact sur le service de transport en commun, mais nous avons ouvert les portes tarifaires comme une précaution pour minimiser l’impact client ». Il ajoute que « comme il y a enquête en cours, il ne serait pas approprié de fournir des détails supplémentaires à ce stade ».

Nous précisons que ce n’est pas la première fois qu’une variante du malware HDDCrytor frappe une entité. En février dernier, le centre médical Hollywood Presbyterian Medical Centre à Los Angeles a fait les frais de ce ransomare.et a dû payer une rançon de 17 000 dollars aux pirates pour reprendre le contrôle de son système. En 2013, HDDCrytor a infecté 234 000 ordinateurs au Royaume-Uni, nécessitant une opération globale de la police pour le neutraliser. Comme on peut le constater, se débarrasser de HDDCrytor sur un système s’avère très difficile. Nous aurions donc bien voulu savoir comment la régie de transport de San Francisco (SFMTA) a bien pu se débarrasser de ce parasite.

Source : SFMTA, CBS, Forbes

Et vous ?

Que pensez-vous de cette attaque ?

Selon vous, comment SFMTA a pu se débarrasser de ce ransomware ?

Voir aussi

USA : l'hôpital victime de l'attaque par ransomware paye une rançon de 17 000 $ aux pirates pour reprendre le contrôle de son système informatique

Angleterre : des hôpitaux se voient obligés de suspendre leurs activités pour combattre un virus dans leur système informatique

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

**Olivier Famien** · 29/11/2016, 02h33

Les pirates de l’entreprise de transport SFMTA menacent de publier des documents confidentiels,
qu'ils auraient en leu possession, bluff ou menace réelle ?

Ce week-end, l’attention était tournée vers la cyberattaque qui a frappé San Francisco Municipal Transport Agency (SFMTA), l’entreprise connue sous le nom de Muni, qui gère les transports en commun de la ville de San Francisco.

Alors que nous croyions ce dossier clos en raison de l’annonce faite par le porte-parole de Muni déclarant après la remise sur pied du système de paiements du métro, « qu’il n’y a aucun impact sur le service de transport en commun, mais nous avons ouvert les portes tarifaires comme une précaution pour minimiser l’impact client », un nouvel élément vient à nouveau de pointer le nez afin d’attirer encore l’attention dans cette affaire.

Dans un précédent email envoyé par les pirates dimanche dernier, ces derniers affirmaient ceci : « Nous attendons donc le contact de toute personne responsable de la SFMTA, mais je pense qu’ils ne veulent pas d’accord. Nous fermons donc ce [compte] email demain ». En théorie, vu que le système de paiement du métro de Muni qui avait été saboté par le chiffrement des données a été remis en marche après l’offre gratuite du métro fournie par SFMTA du vendredi au samedi à cause du dysfonctionnement du système, il apparaissait de manière évidente que tout était réglé.

Toutefois, les pirates semblent ne pas avoir dit leur dernier. Ils viennent de publier un nouveau message dans lequel ils menacent de publier les données à leur disposition si l’entreprise ne règle pas le problème comme il le souhaite. Nous rappelons au passage que les hackers ont exigé le paiement de la somme de 100 bitcoins (73 000 dollars) afin de déchiffrer les données chiffrées. Mais SFMTA a déclaré ceci hier : « Nous avons donné la priorité à la restauration de nos systèmes pour qu'ils soient pleinement opérationnels ».

CSO Online qui a pu avoir une copie du dernier message envoyé par les pirates en donne l’extrait pour lequel nous avons essayé de faire une traduction compréhensible, car le message était écrit avec un anglais sommaire.

« Les gens de San Francisco ont voyagé gratuitement ! Bienvenue !
Mais si une horrible attaque de pirates survenait sur le système d’exploitation du train, qu’est-ce qui vous arriverait ?
Tout le monde voit ce genre de choses dans les films d’Hollywood, mais c’est totalement possible dans le monde réel !
Cela vous donne une preuve de concept. Les entreprises ne sont pas préoccupées par votre sécurité !
Ils donnent votre argent et s’enrichissent tous les jours ! Mais elles ne font pas attention à la sécurité IT et utilisent des systèmes très vieux !
Nous avons piraté 2 000 serveurs/PC chez SFMTA, y compris les kiosques de paiements, l’automatisation interne, les emails et… !
Nous avons eu accès complètement au hasard et notre virus fonctionne automatiquement ! Nous n’avons pas mené d’attaque ciblée contre eux ! C’est merveilleux !
Si des hackers essayent de pirater votre infrastructure de transport avec une attaque ciblée, il y aura plus d’impact !
Nous ne vivons pas aux États-Unis, mais j’espère que l’entreprise essayera de régler cela correctement. Et nous leur conseillons de le faire. Mais s’ils ne le font pas, nous publierons une base de données et des documents de 30 Go comprenant les données des contrats, les données des employés, des plans LLD, des clients… afin d’avoir plus d’impact sur l’entreprise et les forcer à faire le nécessaire !

Désolé pour mon anglais de toute façon

J’espère que quelqu’un est d’accord avec nous, aidez-nous et faites-nous des dons en Bitcoin !
».

Pour certains, ce message apparaît comme un dernier soubresaut de la part des pirates pour que Muni paye quelque chose avant que cette histoire qui n'a pas tourné en leur avantage ne s'achève.

Toutefois, d’un autre côté, si les hackers possèdent véritablement les données qu’ils mentionnent dans leur message, alors cela met véritablement la pression sur l’entreprise Muni, surtout quand on sait que les entreprises ont généralement des informations sensibles qu’elles ne souhaitent surtout pas voir sur la place publique. Nous attendons donc la suite du déroulement des évènements afin de voir comment s’achèvera ce problème.

Source : SFMTA Blog, CSO Online, Kaspersky Threat post

Et vous ?

Que pensez-vous du contenu de ce message ?

Pensez-vous que cela soit un coup de bluff de la part des pirates ?

Ou au contraire, possèdent-ils véritablement des données qu’ils n’hésiteront pas à diffuser en cas de non-paiement ?

Voir aussi

USA : l'hôpital victime de l'attaque par ransomware paye une rançon de 17 000 $ aux pirates pour reprendre le contrôle de son système informatique

Angleterre : des hôpitaux se voient obligés de suspendre leurs activités pour combattre un virus dans leur système informatique

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

**TiranusKBX** · 29/11/2016, 05h09

Je parie que ce groupe de Pirates est en proie à de vives tension vus qu'ils n'on pas été payés alors pour calmer ces acolytes leur chef passe au chantage de diffusion de données pour se faire payer

**Matthieu Vergne** · 29/11/2016, 08h38

Euh, sauf que si l'article DVP ainsi que l'article source parlent de menaces en vue d'être payé, la traduction comme le mail original vont complètement à rebours de cette annonce : les hackers critiquent le manque de sécurité du système et menacent de partager les données si ce problème n'est pas corrigé. Aucune requête de paiement n'est formulée. Ils demandent même à la fin des dons de la part de ceux qui sont d'accord avec eux, ce qui n'aurait tout simplement pas de sens dans le cadre d'une menace. C'est un mail de Robin des Bois, pas une menace pour être payé.

Soit j'ai loupé un truc, soit les chroniqueurs (DVP comme source) ont besoin d'améliorer leurs capacités de lecture.

**Jonyjack** · 29/11/2016, 10h53

Envoyé par Matthieu Vergne

Aucune requête de paiement n'est formulée. Ils demandent même à la fin des dons de la part de ceux qui sont d'accord avec eux, ce qui n'aurait tout simplement pas de sens dans le cadre d'une menace.

+1

Soit il manque un bout, soit Olivier n'a pas compris sa propre traduction.
Ceci dit, quitte à balancer un ransomware, c'est bizarre de ne pas utiliser ces fameuses données pour obtenir de l'argent, sauf si Muni a payé sans le dire pour enlever HDDCrypt (donc les pirates ne veulent pas surenchérir avec une deuxième demande de rançon)

**kilroyFR** · 29/11/2016, 13h03

est-ce que ce genre de probleme peut arriver si a la place de PC Windows les equipements/postes de travail fonctionnaient sous Linux ?

**Aurelien Plazzotta** · 29/11/2016, 13h39

Il est également possible que la société de transport ait modifié le courrier électronique original du groupe de hackers en vue de les tourner en ridicule dans la presse et gagner du temps le temps que la police identifie les activistes et libère la pression qui pèse sur SFMTA.
Les sources de l'article ne citent que l'unique point vue de Muni, pas celui des hackers.

**NSKis** · 29/11/2016, 15h15

Envoyé par kilroyFR

est-ce que ce genre de probleme peut arriver si a la place de PC Windows les equipements/postes de travail fonctionnaient sous Linux ?

Croire que l'usage de Linux vous protège des cybercriminels est un mythe!

**Matthieu Vergne** · 29/11/2016, 15h55

Et comme tout mythe il a sa part de vérité.

**marius591** · 30/11/2016, 04h20

JE pense qu'ils non pas vraiment de quoi influencé l'entreprise !!

**marius591** · 30/11/2016, 04h29

<Et comme tout mythe il a sa part de vérité.>
Bien-sure !! tout personne a un sécret

**JackJnr** · 30/11/2016, 16h25

Envoyé par Matthieu Vergne

Et comme tout mythe il a sa part de vérité.

Je suis un adepte convaincu du manchot mais niveau sécurité je ne m'y connais pas du tout. Vu que tu es chercheur en sécurité d'après ton profil, tu aurais des exemples qui montreraient une meilleure sécurisation de Linux vs Windows stp (distros et/ou noyau) ? J'ai toujours voulu clarifier ce point de mon côté.

**Matthieu Vergne** · 30/11/2016, 19h20

Envoyé par JackJnr

Je suis un adepte convaincu du manchot mais niveau sécurité je ne m'y connais pas du tout. Vu que tu es chercheur en sécurité d'après ton profil, tu aurais des exemples qui montreraient une meilleure sécurisation de Linux vs Windows stp (distros et/ou noyau) ? J'ai toujours voulu clarifier ce point de mon côté.

Non, pas en sécurité. Je dirais même que la sécurité ne me plaît pas vraiment, tout comme les réseaux d'ailleurs. Mon profil info est plus orienté programmation, même si j'ai effectivement quelques bases de par mon cursus générique et mes lectures de ci de là.

Pour ma part, il me semble que Linux et autres distribs dérivées d'Unix sont plus robustes aux attaques car ont une meilleure séparation utilisateur/admin (via sudo), ce qui offre une sécurité naturelle pour les tâches discrètes lancées en tant qu'utilisateur (et n'ayant donc pas les droits suffisants pour faire grand mal). Le monopole de Windows sur les PC grand public est aussi ce qui le rend plus intéressant à attaquer, les cibles Linux faisant une surface d'attaque bien plus réduite et plus pro, et donc moins intéressante en plus d'être moins sujettes aux "erreurs de débutant", bon nombre d'attaques nécessitant que l'utilisateur fasse une bêtise. Maintenant, pour les détails et des chiffres, je n'en ai pas la moindre idée.