Discussion :

[Stéphane le calme]

Une seconde ville de Floride décide de payer les hackers après une attaque de ransomware,
en deux semaines la Floride a payé 1,1 million de dollars

« On ne négocie pas avec les terroristes », cette doctrine américaine est-elle encore d’actualité dans le contexte du numérique ? Il faut dire que les cyberattaques sont une nouvelle forme de terrorisme. Bien qu’elles ne fassent pas de morts, elles provoquent des dégâts considérables. Une cyberattaque peut frapper à l'improviste n'importe où, en choisissant tranquillement ses cibles, comme n'importe quel terrorisme politique ou religieux. Devant leurs claviers, des hackers profitent de leur invisibilité pour désorganiser des entreprises, des institutions d'État, sans oublier des particuliers.

Mais les conséquences d’un refus de négociation ne tardent pas à se faire sentir. Plusieurs villes américaines ont été attaquées au ransomware et ont refusé de se soumettre aux exigences des hackers pour récupérer leurs dossiers.

Nous pouvons citer le cas de Baltimore. Le 7 mai 2019, des pirates informatiques ont verrouillé les données d’environ 10 000 ordinateurs du gouvernement à Baltimore et ont exigé environ 100 000 USD de rançon en bitcoins pour les restituer. Baltimore, comme plusieurs autres villes touchées par de telles attaques ces deux dernières années, a refusé de payer la rançon. Par conséquent, pendant un mois, la ville a dû mettre progressivement en place des solutions manuelles étant donné que les fonctionnaires et les citoyens n’avaient plus accès à certains services essentiels, notamment les sites Web sur lesquels ils paient leurs factures d'eau, leurs taxes foncières et leurs contraventions de stationnement.

Début juin, le maire Bernard C. «Jack» Young et son cabinet ont informé la presse sur l'état d'avancement du retour à la normale qui, selon le directeur des finances de la ville, va coûter 10 millions de dollars à Baltimore, sans compter les 8 millions de dollars perdus en raison de revenus différés / non acquis (acompte enregistré sur la balance du client comme une dette jusqu'à ce que les services aient été rendus ou que les produits aient été livrés) ou perdus à cause de l’incapacité de la ville à traiter les paiements.

En somme, pour avoir refusé de payer 100 000 dollars aux terroristes, les activités de la ville ont été paralysées pendant plus d’un mois et les coûts du retour à la normale étaient de 18 millions de dollars.

Certaines villes ont décidé de payer

Les dirigeants de Riviera Beach, en Floride, semblant épuisés, se sont réunis la semaine dernière à la hâte pour un vote extraordinaire qui s’est soldé par le paiement d’une rançon de près de 600 000 dollars aux hackers qui ont paralysé les systèmes informatiques de la ville. Ils ont estimé que la banlieue de Palm Beach n’avait pas le choix si elle souhaitait récupérer les enregistrements chiffrés par des pirates. Le conseil avait déjà voté pour dépenser près de 1 million de dollars US sur de nouveaux ordinateurs et matériels après que des pirates aient capturé le système de la ville il y a trois semaines.

Cette fois-ci, une seconde ville en Floride a décidé de payer la rançon et a versé 500 000 USD aux pirates informatiques après une attaque de ransomware. Le montant total payé par les municipalités de la Floride pour les ransomwares au cours des deux dernières semaines s’élève maintenant à 1,1 million de dollars.

Les fonctionnaires à Lake City ont voté pour payer les pirates informatiques à Bitcoin après avoir souffert de systèmes informatiques en panne pendant deux semaines.

Selon certaines informations, le personnel informatique de Lake City a déconnecté les ordinateurs du personnel quelques minutes après le début de l'attaque, mais il était trop tard.

Les travailleurs étaient en lock-out sur leurs comptes de courrier électronique et les membres du public étaient incapables d'effectuer leurs paiements en ligne.

Les hackers ont pris contact avec l'assureur de la ville et ont négocié le paiement d'une rançon de 42 bitcoins, soit environ 500 000 $. Les fonctionnaires ont estimé que le paiement de la rançon était le moyen le plus efficace de retrouver l'accès à un ordinateur.

« Je n'aurais jamais imaginé que cela aurait pu arriver, en particulier dans une petite ville comme celle-ci », a déclaré le maire Stephen Witt aux médias locaux.

L'assurance couvrirait la grande majorité du montant de la rançon, a-t-il ajouté, bien que 10 000 dollars soient à la charge des contribuables.

Une recrudescence des attaques informatiques

Les attaques de types rançongiciels contre des gouvernements et des entreprises sont devenues monnaie courante dans le monde entier, car les pirates informatiques ont appris que la détention en otage de données était un moyen efficace d'extorquer rapidement de l'argent à des entités publiques et privées. Certains cybercriminels utilisent un outil, Eternal Blue, développé par la National Security Agency. La NSA a perdu le contrôle du programme, qui est maintenant utilisé comme une cyber-arme.

Même quand elles paient, les victimes s'aperçoivent qu'elles ne peuvent pas toujours récupérer toutes leurs données. Et les coûts de reconstruction du système sont généralement beaucoup plus élevés que la rançon elle-même. Atlanta a estimé que la reprise d'une attaque soutenue qui avait affaibli la ville l'année dernière pourrait coûter 17 millions de dollars. Les responsables de l'information des administrations locales à travers le pays ont déclaré dans un sondage réalisé en 2016 que plus du tiers d'entre eux utilisaient des technologies obsolètes, ce qui les rendait plus vulnérables aux cyberattaques. Moins de la moitié avaient souscrit une assurance cybersécurité. « La complexité et la gravité de ces attaques de rançongiciel continuent d’augmenter », a déclaré Rebholz, directeur de Moxfive, société de conseil en technologies. « Bien d’organisation et de ville ne sont pas en mesure de suivre le rythme de la sophistication des acteurs de la menace ».

En 2016, trois hôpitaux américains ont été victimes d'infections par ransomware.

« Ransomware est le canari de la mine de charbon », a déclaré Kevin Beaumont, expert en cyber-sécurité, qui a expliqué que la vague d'attaques démontrait que les entreprises devaient améliorer leur sécurité informatique de base.

Source : BBC

Et vous ?

Payer ou ne pas payer la rançon ? Telle est la question

Voir aussi :

Baltimore : le retour à la normale après l'attaque par ransomware va coûter plus de 18 millions de dollars, l'addition pourrait être plus salée
Des hackers ont attaqué les ordinateurs de la ville de Baltimore au ransomware, bloquant l'accès à certains services essentiels depuis deux semaines
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Symantec : le formjacking constitue la nouvelle forme d'attaque utilisée par les pirates pour s'enrichir encore plus vite qu'avec les ransomwares

[marsupial]

Un p'tit rapport d'audit dont j'ai pris connaissance ce matin notant le délabrement des ministères des Etats-Unis. En pleine cyberguerre, j'attends le moment où ils vont se prendre un wyper...

[Kulvar]

Plus les villes payent, plus ça incite les hackers à continuer.
S'il était illégal de payer les rançons, les hackers en quête d'argent facile se tourneraient vers d'autres cibles.

[CoderInTheDark]

Ce ne doit pas être plus glorieux dans nos administrations et ministères

[Patrick Ruiz]

Une ville de Floride licencie un employé IT jugé responsable de la propagation d’un rançongiciel
Pour lequel il a fallu verser 500 k $ aux pirates

Lake City en Floride a, il y a peu, versé une rançon de 500 000 $ à des pirates qui ont mis les systèmes informatiques de la ville sous verrou avec des rançongiciels sophistiqués, ce, juste après le versement d’une rançon de 600 000 $ dans des conditions similaires par Riviera Beach – une autre ville de Floride. D’après des médias locaux, des têtes sont en train de tomber. Le maire a apporté confirmation du licenciement du directeur des systèmes d’information de la ville.

Brian Hawkins ne fera plus partie de l’équipe en charge de la gestion des systèmes d’information de la ville parce que tenu pour responsable de la cyberattaque qui a paralysé serveurs, réseaux de courrier électronique et lignes téléphoniques. ; c’est ce qu’a transmis Joe Helfenberg à la presse. En sus, le nouveau directeur des systèmes d’information envisage une réorganisation de l’ensemble du service afin d’éviter qu’un incident similaire ne se produise à l’avenir. Ceci implique que d’autres responsables de l’ancienne équipe pourraient gagner le dehors. D’après les estimations des responsables de la ville, les opérations de récupération des fichiers chiffrés par les pirates (qui ont fournis la clé de déchiffrement) devraient arriver à leur terme dans deux semaines. Helfenberg est attendu dans une sortie programmée en début de semaine prochaine pour informer l’opinion sur l’avancée de la manœuvre.

Les responsables de Lake City ont décrit l'incident comme une imbrication de trois menaces informatiques. En effet, les rapports initiaux font état de ce qu'un employé de la ville a téléchargé un document reçu par voie de courriel. Cela a déclenché une chaîne d'événements mettant en scène trois variantes distinctes de logiciels malveillants. Le document contenait le cheval de Troie Emotet ; ce dernier s'est installé tout seul et a ensuite téléchargé un autre cheval de Troie appelé TrickBot qui a, à son tour, enclenché l’installation du rançongiciel Ryuk. Celui-ci s'est ensuite répandu dans tous les systèmes de la ville, les a verrouillé et affiché les fenêtres de demande de rançon. Selon le New York Times, seuls les systèmes de police et de pompiers ont été épargnés car ils étaient sur un serveur différent. D’après la publication du quotidien américain, les autorités municipales ont décidé à contrecœur qu'il serait moins cher et plus efficace de simplement payer les pirates après plusieurs jours de travail avec le FBI et des consultants en sécurité pour résoudre le problème. Selon des chiffres de la firme de sécurité Emsisoft, les experts parviennent à déchiffrer les contenus mis sous verrou par ce ransomware dans 3 à 5 % des cas.

D’un point de vue technique, la réussite d’une telle attaque repose sur la présence d’un certain nombre de failles. Une liste non exhaustive inclut : l’absence de filtres anti-rançongiciels sur les serveurs de courriels, le manque d’éducation des employés quant à la gestion des fichiers transmis par voie de courriel, l’absence de copies de sauvegarde, etc. Il est plus qu’évident qu’au moins une de ces barrières n’était pas au rendez-vous, ce qui engage la responsabilité du département en charge de la gestion des systèmes d’information en premier. Sur décision des autorités de la municipalité, Brian Hawkins écope donc, ce, même s’il faut préciser à nouveau que c’est un employé tiers qui a ouvert le fichier attaché à un courriel.

Ce qu’il faut dire c’est que les attaques au rançongiciel Ryuk ont le vent en poupe comme le rapportent de nombreuses agences en charge de la cybersécurité. À date, la municipalité de Kay Biscane en Floride a elle aussi ses systèmes bloqués par ce rançongiciel. L’on rapporte toutefois que les autorités n’ont pas encore pris de décision quant au paiement ou non de la rançon.

Les rapports d'attaques par rançongiçiel contre les systèmes municipaux sont devenus monnaie-courante dans les médias. Aux USA, les estimations de tels incidents se comptent par centaines. Début juin, les autorités de Baltimore ont évalué à 18 millions de dollars le coût pour le retour à la normale après une attaque à l'aide du logiciel de rançon RobbinHood qui a touché environ 10 000 ordinateurs. Elles ont refusé de payer la rançon fixée à 100 000 $ par les pirates. En Géorgie, des fonctionnaires du Conseil judiciaire et du Bureau administratif des tribunaux ont confirmé que leurs systèmes avaient été contaminés par des rançongiciels. Les retours initiaux pointent une attaque au ransomware Ryuk.

Sources : wcjb, New York Times

Et vous ?

Qu’en pensez-vous ?

Brian Hawkins mérite-t-il sa sanction ? Est-il le seul qui mérite d’écoper d’un licenciement ?

Êtes-vous en accord avec la perspective d’être renvoyé si vous êtes la cause d’un incident similaire dans votre entreprise ?

Pensez-vous qu’une entreprise puisse être parée à 100 % contre des attaques de ce type ?

Voir aussi :

PyLocky Decryptor : un outil de récupération de fichiers chiffrés par le rançongiciel du même nom, publié par les autorités françaises

Les entreprises qui promettaient des solutions contre les rançongiciels payaient presque toujours les pirates informatiques

Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes

Une entreprise prétend déverrouiller les fichiers de ses clients victimes de ransomwares mais paie la rançon, en se faisant une grosse marge

[ShigruM]

[marsupial]

Bouc-émissaire d'une situation généralisée.

[walfrat]

Et il avait combien de budget l'ancien DSI pour mettre en place de la sécurité ? 3K€ annuel ?
Ou alors c'était même pas un vrai DSI de base, juste le gars qui faisait du dépannage qu'on a collé là plus tard...

[Anselme45]

Une ville de Floride licencie un employé IT jugé responsable de la propagation d’un rançongiciel pour lequel il a fallu verser 500 k $ aux pirates

Et quand c'est le directeur général de l'entreprise qui "vérole" les ordinateurs de sa société en passant ses journées à mater des sites de cul caché dans son bureau? On fait quoi?

PS: Attention... Histoire vraie vécue chez un client...