Comment l'extorsionniste cryptographique a rendu le passage ferroviaire de San Francisco gratuit

L'autre jour, les passagers du chemin de fer à voie étroite de San Francisco ont eu l'occasion de voir l'inscription «Vous êtes piraté, TOUTES les données sont cryptées» sur les écrans de tous les terminaux de paiement de la société de transport de la San Francisco Municipal Transportation Agency ( SFMTA ). Quelque temps plus tard, la direction a confirmé le piratage, affirmant que SFMTA enquêtait activement sur l'incident.

«Nous travaillons actuellement sur une solution à ce problème. Une enquête est en cours et nous ne pouvons pas encore fournir de détails supplémentaires » , a déclaré le porte - parole.SFMTA. En fait, l'inscription sur les écrans est affichée par un logiciel malveillant - crypto-ransomware. En conséquence, non seulement les terminaux de paiement ont été bloqués, mais également la plupart des infrastructures informatiques de l'entreprise. Pour cette raison, il est impossible de payer le prix et les passagers ont été autorisés à voyager gratuitement pendant le règlement de la situation.

Dimanche, les employés ont même dû se souvenir de l'expérience de la planification d'itinéraire à l'aide de papier, d'un stylo et des conversations téléphoniques des contrôleurs de station. En règle générale, la planification des itinéraires est effectuée à l'aide de la technologie informatique, avec la distribution automatique des lettres de voiture sous forme électronique pour former les conducteurs. Maintenant, le calendrier est suspendu dans les stations sous forme de plans papier.

La responsabilité de la cyberattaque a été revendiquée par quelqu'un Andy Saolis. Le cybercriminel a même répondu à quelques questions de journalistes. L'attaquant a déclaré que c'était lui et son groupe qui étaient à l'origine de la cyberattaque contre la société de transport. En outre, il a déclaré que l'attaque avait été menée uniquement pour des raisons financières et rien de plus. «J'espère que cela aidera l'entreprise à améliorer la sécurité de son infrastructure informatique avant de revenir», a écrit Saolis.

Selon l'agresseur, l'attaque ne visait pas exclusivement le réseau informatique de cette société. Un fichier infecté a été localisé sur l'un des pisteurs de torrent, qui a été téléchargé par l'un des employés de la station. Après avoir initialisé le fichier, le malware a démarré et infecté l'ensemble du réseau.

"La station s'est avérée être un maillon faible", a expliqué l'attaquant. Il a également ajouté que pour déverrouiller les systèmes informatiques de la station, un paiement de 100 bitcoins est requis (c'est 73 000 $ au taux de change). Jusqu'à présent, selon les auteurs de l'attentat, les représentants de l'entreprise ne les ont pas contactés. "Peut-être qu'ils veulent une dure leçon", a écrit Saolis.

Dans le même temps, le personnel de la station a pu reprendre le fonctionnement de certains systèmes. L'entreprise emploie environ 6 000 personnes et toutes les données sont en danger, car toutes les informations sur les employés sont stockées dans une base de données commune du système infecté.

Selon les représentants de l'entreprise, qui ont été touchés par les attaquants, ils ont réussi à protéger la plupart des données contre les infections, afin que les informations essentielles au travail ne soient pas attaquées. Mais les ordinateurs en fonctionnement sont bloqués par un crypto-rançongiciel, donc les processus de travail doivent être effectués à l'ancienne.

Dans tous les cas, la société n'a plus beaucoup de temps avant l'expiration du délai imparti par le malware pour payer, et les données sur les systèmes affectés par l'attaque ne peuvent pas être restaurées.

Malgré sa prévalence, gérer ce type de logiciel est difficile. Le problème est que la clé de cryptage qui crypte les fichiers de l'utilisateur est envoyée aux serveurs des attaquants. Sans cela, dans la plupart des cas, il n'est pas possible d'obtenir vos données. Les spécialistes de la sécurité de l'information ne parviennent pas toujours à trouver un «antidote» pour le prochain ransomware. En conséquence, les individus et les organisations doivent payer les créateurs de logiciels malveillants. Cela s'est produit, par exemple, avec une école américaine de Caroline du Sud, aux États-Unis. L'administration de l'école a dû payer 8 500 $ aux développeurs du virus de chiffrement.

Les pirates sont divisés en ceux qui envoient honnêtement la clé à la victime pour décrypter les données encodées et ceux qui n'envoient rien. De plus, il existe des cas où le ransomware imaginaire ne crypte rien, mais supprime simplement les fichiers. Mais en même temps, un tel logiciel nécessite de l'argent de la victime pour la restauration des données qui ne peuvent pas être restaurées. Ranscam est un malware qui ne prétend être qu'un ransomware crypto. Le logiciel prétend que les fichiers sont cryptés, bien qu'en fait tout ce que l'utilisateur voit à l'écran soit une ligne de commande avec une liste de fichiers supprimés. Une fois les fichiers supprimés, le programme affiche une fenêtre contextuelle vous demandant de payer pour obtenir la clé de cryptage.



Le ransomware Crypto se propage de différentes manières - de la distribution d'e-mails aux sites d'entreprises bien connues. Par exemple, le site d'un fabricant de jouets populaire a commencé à infecter ses visiteurs avec des ransomwares au printemps . Il s'est avéré que le site a été piraté et les attaquants ont téléchargé leur propre logiciel sur le serveur en l'intégrant dans le CMS Joomla, sur lequel la ressource fonctionne. En avril, une attaque similaire a été lancée sur des sites équipés du serveur Web IIS de Microsoft. Ce n'est qu'à ce moment-là que le rançongiciel cryptographique CryptoWall ou TeslaCrypt a été utilisé.

Source: https://habr.com/ru/post/fr399623/