L’attaque de ransomware SamSam contre la ville d’Atlanta — qui a détruit plusieurs services municipaux essentiels pendant près d’une semaine en mars dernier — a montré à quel point les municipalités locales sont vulnérables aux attaques cybercriminelles.

Bien que la ville ait refusé de payer la rançon correspondante, l’attaque s’est révélée coûteuse au-delà de toutes les estimations initiales. Selon un document de sept pages examiné par deux médias locaux, le montant demandé par les pirates est d’environ 17 millions de dollars. Cette estimation comprend 11 millions de dollars associés au processus de nettoyage de virus dans les équipements ainsi qu’à l’achat de nouveaux matériels.

Les 6 millions de dollars restants sont alloués à de tiers entrepreneurs pour les services de sécurité et les mises à niveau logicielles nécessaires pour réparer les vulnérabilités et prévenir tout dommage futur.

Cet incident est le résultat d’un seul clic sur un lien contenu dans un e-mail, réalisé par un employé.

Environ 90% des cyberattaques commencent par un message électronique.

Avec la numérisation rapide des services des villes et l’intégration de technologies de ville intelligente utilisant des dispositifs IoT de mise en réseau, la tendance croissante des pirates à cibler les municipalités et les administrations locales semble certaine. Voici une courte liste des nombreuses attaques dont nous avons été témoins cet été.

Les attaques par ransomware ciblent aussi la Géorgie

Cinq mois après l’attaque d’Atlanta, le comté de Coweta qui se trouve au sud du comté d’Atlanta, a perdu l’usage de la plupart de ses serveurs, dont certains étaient hors service pendant près de deux semaines. Les auteurs de l’attaque exigeaient 50 Bitcoins, ce qui équivaut à environ 340 000 $.

Heureusement, pour le comté, tous les systèmes avaient été sauvegardés la veille de l’attaque du 19 août, ce qui explique en grande partie pourquoi le comté n’a jamais envisagé de payer la rançon. Le personnel informatique a été en mesure de rétablir le service à l’aéroport local, les services de sécurité publique et l’inscription des électeurs dans les 48 heures. Par la suite, ils ont rétabli les services du bureau gouvernemental, de tous les services judiciaires et d’autres services au cours des dix jours après l’attaque.

L’attaque contre le comté de Coweta montre comment les sauvegardes récurrentes constituent un moyen efficace de récupérer d’une cyberattaque telle que les ransomwares. L’attentat aurait dû coûter 17 millions de dollars aux contribuables, ce qui en fait l’un des attentats les plus coûteux pour les administrations locales en 2018.

Deux victimes dans les villes de l’Alaska

Situé juste à l’extérieur d’Anchorage, en Alaska, l’arrondissement de Matanuska-Susitna se remet encore d’une attaque qui a eu lieu le 24 juillet. L’arrondissement compte plus de 100 000 habitants et les employés municipaux ont dû avoir recours aux machines à écrire, à l’estampillage et à la documentation manuscrite.

Bien que la protection des logiciels locaux ait détecté des parties du malware qui ont infiltré le réseau le 17 juillet, ils n’ont pas détecté d’autres composants dormants qui ont déclenché l’infestation une semaine plus tard (c’est un excellent exemple qui démontre pourquoi vous ne devriez pas compter sur une seule couche de cybersécurité).

L’infection par les ransomwares a paralysé les réseaux gouvernementaux de l’arrondissement et a entraîné la fermeture d’une grande partie des systèmes informatiques infectés. Les experts en cybersécurité ont signalé que l’attaque était très avancée et elle a permis de chiffrer certaines sauvegardes du comté.

En conséquence, le système de messagerie était irrécupérable selon le responsable informatique. D’autres systèmes sont en cours de restauration avec des données datant d’un an, obligeant les employés à reconstruire manuellement les ordinateurs affectés.

C’était une attaque très insidieuse et très bien organisée. Le « virus » a été identifié comme étant le ransomware BitPaymer. Cette souche de ransomware a été vue pour la première fois en juillet 2017, lorsqu’elle a frappé une série d’hôpitaux écossais.

Après avoir accédé à un système d’information hospitalier, les attaquants se déplacent latéralement sur le réseau pour installer BitPaymer manuellement sur chaque système compromis. Il a été rapporté que le ransomware a ensuite chiffré les fichiers avec une combinaison d’algorithmes de chiffrement RC4 et RSA-1024. Les chercheurs disent qu’il n’y a actuellement aucun moyen de déchiffrer les fichiers verrouillés par le ransomware BitPaymer.

Quelques jours seulement après cette attaque, la ville de Valdez, en Alaska, a perdu l’usage de l’ensemble de son réseau en raison d’une attaque séparée contre ses installations. Selon le directeur municipal, l’attaque a commencé par quelques problèmes sur le site Web du service de police.

Lorsque le système antivirus installé n’a pas réussi à combattre la menace, tous les systèmes ont été arrêtés pour empêcher le cryptovirus de se propager aux services essentiels.

Le FBI a été alerté et la ville a réussi à se remettre de l’attaque en une semaine.

Perturbation dans les écoles de deux districts scolaires

En mars 2016, le Cloquet School District du Minnesota a été forcé d’annuler les cours pendant une journée afin de donner suffisamment de temps à son personnel informatique pour se remettre d’une attaque de rançon. Le même scénario s’est répété au sein du district scolaire le 13 août.

Tous les serveurs de l’école ont été chiffrés une fois de plus lors de cette attaque, mais les précieuses connaissances acquises lors de l’attaque précédente ont permis au district de s’en remettre beaucoup plus rapidement, sans trop d’interruption.

Pendant ce temps, un lycée public néo-zélandais a été victime d’une autre attaque liée à des clics sur des liens intégrés à des e-mails.

En réalité, les élèves de l’école secondaire Hawera ont perdu l’accès à une grande partie des travaux qu’ils ont récemment terminé. L’attaque a eu lieu le 2 août et les cybercriminels qui l’ont perpétrée ont demandé 5 000 $ pour déchiffrer les fichiers.

Heureusement, l’école était en train de migrer son système de stockage de données vers le cloud, ce qui a permis de préserver une grande partie de ses données vitales. Les cours se sont déroulés comme prévu, mais les enseignants ont dû relever le défi d’enseigner sans l’aide de la technologie pendant plusieurs jours.

Les autorités sanitaires perdent les dossiers de 1,5 millions de patients à cause de pirates informatiques

La ville de Hong Kong a avancé que son Département de la Santé était la cible d’une attaque de ransomware survenue le 3 août 2018.

L’attaque était le résultat d’une brèche de connées survenue deux semaines plus tôt. Trois des serveurs de l’organisation ont été touchés, rendant toutes ses données inaccessibles, sans aucune communication de la part des attaquants. Contrairement à l’attaque à grande échelle qui a eu lieu contre le ministère de la Santé de Singapour — qui a eu lieu deux semaines auparavant et entraîné la perte de plus de 1,5 million de dossiers médicaux —, aucune donnée n’a été compromise et le ministère a réussi à rétablir les dossiers perdus.

Hong Kong a également connu plusieurs cas majeurs de piratage informatique cette année. En avril, les données personnelles de 380 000 clients du Hong Kong Broadband Network — y compris les détails de plus de 40 000 cartes de crédit — ont été consultées sans autorisation.

En janvier, des ordinateurs de deux agences de voyages locales — Goldjoy Holidays et Big Line Holiday — ont été piratés et les renseignements personnels de leurs clients ont été confisqués par les pirates qui voulaient les échanger contre une rançon.

Les pirates utilisent actuellement des tactiques de plus en plus sophistiquées et des techniques d’autopropagation. Ainsi, il est plus important que jamais de bloquer les infections avant qu’elles n’atteignent votre réseau et se propagent.

Après une attaque par ransomware, une analyse complète du système doit être effectuée pour s’assurer qu’aucune porte dérobée (qui donne un accès secret au logiciel) n’a été installée et que toutes les traces de malwares sont supprimées.

Des protections supplémentaires doivent ensuite être mises en place pour s’assurer que de futures attaques ne se produiront plus.

Le coût réel d’une attaque par ransomware est considérable. Il est essentiel que les entreprises de toutes tailles disposent de protections appropriées pour prévenir ce genre de cybercriminalité et limiter sa gravité au cas où elle se produirait.

SamSam ne partira pas de si tôt.

Il suffit d’un simple clic pour que vous soyez confronté à des décisions similaires et contraint de payer des factures importantes. Empêchez les e-mails malveillants d’atteindre les boîtes de réception des utilisateurs de votre réseau informatique.

SpamTitan, par exemple, peut vérifier chaque URL d’un e-mail en se référant à des listes noires connues, avec une couverture Web active à 100 %. Cette solution vous permet d’empêcher vos utilisateurs de cliquer sur des liens dans les e-mails et qui pointent vers des sites malveillants.

Pour en savoir plus sur les principales fonctionnalités en termes de protection web de SpamTitan et sur les différentes solutions que vous pouvez mettre en place pour éviter de vous exposer aux attaques par ransomware, contactez l’équipe TitanHQ dès aujourd’hui.