Le président de Larson Studios, Rick Larson, et sa partenaire d'affaires à temps partiel, Jill Larson, ont
expliqué à Variety comment les concessions aux pirates et une approche irresponsable de la sécurité ont permis à Dark Overlord de faire chanter les studios hollywoodiens.
En 2016, deux jours avant la célébration du Noël catholique, Rick et Jill ont reçu des SMS avec la menace de piratage sur leurs téléphones portables personnels, mais n'y ont pas accordé beaucoup d'importance. La veille des vacances, une autre chose est venue: «Pourquoi m'ignores-tu? Un e-mail attend une lettre qui va changer votre vie. » Les Larsons n'étaient toujours pas très inquiets, mais tout a changé quand une nouvelle lettre est arrivée le lendemain. Un groupe de crackers, se faisant appeler Dark Overlord, a rapporté qu'ils avaient réussi à s'infiltrer dans les serveurs de l'entreprise et avaient menacé de divulguer toutes les données des studios Larson.
L'ingénieur en chef de l'entreprise David Dondorf et le directeur des systèmes numériques Chris Unthank ont quitté leur famille le matin de Noël et se sont précipités dans le studio pour évaluer l'impact des pirates. Dark Overlord a volé le serveur et supprimé toutes les données, comme promis dans ses messages, et exigé des paiements en bitcoins si le studio voulait renvoyer toutes les données. Untank et Dondorf ont alors déconnecté tous les équipements du réseau et appelé le FBI.
Cependant, les autorités n'ont rien pu faire ce matin de Noël: le FBI a demandé à remplir des formulaires, a exprimé sa sympathie et le travail du bureau a pris fin. Les entreprises ont compris que les formulaires ne vous diraient pas comment répondre aux exigences de rachat des harkers, et donc Larson Studios a embauché des experts privés en sécurité des données pour savoir ce qui s'est passé et ce qu'il faut faire ensuite.
À la fin, ils ont réussi à comprendre comment les pirates avaient lancé l'attaque. Dark Overlord a scanné des adresses publiques et recherché des ordinateurs fonctionnant sur des versions non protégées de Windows et est tombé par hasard sur un vieil ordinateur dans Larson Studios exécutant Windows 7. Dondorf a expliqué que l'attaque n'était pas ciblée - les pirates voulaient vérifier leur force s'ils pouvaient trouver un ordinateur qui arriver à pirater.
Lorsque toutes les circonstances ont été clarifiées, l'entreprise a resserré les mesures de sécurité et a soigneusement examiné ce qui avait été volé. Jill Larson note que l'équipe a passé la majeure partie de janvier à ce sujet. Avant de payer la rançon, ils voulaient obtenir des preuves des pirates.
Larson Studios n'a pas immédiatement décidé de rencontrer les crackers, mais Dark Overlord a donné très peu de temps pour prendre une décision. Les attaquants ont menacé de publier la nouvelle saison de la série Netflix, "
Orange est le hit de la saison ", avant la nouvelle année. L'entreprise a donc dû accepter de coopérer, au moins pour gagner du temps.
Pendant ce temps, des experts en sécurité embauchés par les Larsons ont étudié les précédentes attaques de Dark Overlord. Au cours des mois précédents, un groupe de crackers a ciblé des établissements médicaux et d'autres entreprises. Les attaquants ont réussi à attaquer le producteur de colle américain Gorilla Glue devant les studios Larson et un organisme de bienfaisance pour enfants immédiatement après. Les attaques précédentes ont montré que le paiement de la rançon fonctionnait vraiment - les pirates ont rendu des documents à l'entreprise et détruit des copies à la maison.
Lorsque les pirates ont prouvé fin janvier qu'ils avaient volé le contenu d'une douzaine de grands studios, dont Netflix, ABC, CBS et Disney, Larson a fait deux choses: a écrit une déclaration à la police et a décidé de payer les assaillants. «Nos clients nous ont confié la protection de leur propriété intellectuelle et la meilleure façon de prouver leur confiance est de payer les pirates», explique Rick Larson. Les pirates ont exigé 50 bitcoins, qui s'élevaient à l'époque à un peu plus de 50 000 dollars.
Le 6 février, Jill Larson et Untank ont rencontré l'agent spécial John Palmieri, spécialiste de la cybercriminalité. Palmery déconseille de payer et de ne pas parler de ransomware. Mais il a également noté que l'entreprise elle-même savait probablement mieux quelle solution serait la meilleure pour l'entreprise.
L'achat et l'envoi de bitcoins ont causé des difficultés. Tout d'abord, Jill Larson a dû collecter le montant nécessaire dans Coinbase - une sorte de banque Internet pour les transactions bitcoin. La banque n'a pas autorisé l'intégralité de l'opération à la fois, et il a fallu environ une semaine pour transférer le montant total de Dark Overlord - un total de 19 transactions. Après cela, Larson Studios a reçu la dernière lettre de cybercriminels confirmant le paiement.
Il y a eu une accalmie pendant plusieurs semaines, et le 31 mars, le FBI a appelé la société et a déclaré que les pirates avaient utilisé les matériaux volés en décembre pour faire chanter les studios d'Hollywood. Quelques jours plus tard, le téléphone de Larson a été arraché des appels des services de sécurité de ces studios.
Jusqu'à présent, Larson Studios n'a signalé d'attaque à aucun de ses clients. Le silence est l'une des conditions que les pirates ont posées. Le groupe Dark Overlord a même contacté certains journalistes et posé des questions sur un éventuel incident pour s'assurer que la société divulguerait un secret. Les studios Larson étaient silencieux et les pirates ont dit à Larson que c'était la bonne décision.
Larsonov a dépensé six zéros pour de nouvelles mesures de sécurité, dont certaines ont été recommandées par les studios. Désormais, ils stockent les fichiers audio et vidéo séparément, de sorte que les attaquants ne pourront pas les voler en même temps. La sortie est cryptée, les réseaux sont séparés et les ordinateurs de la pièce sont verrouillés. Ce n'est que maintenant que les studios Larson se sentent en sécurité.
Cela ne signifie pas que l'entreprise n'a pris aucune précaution auparavant. Les employés de Larson Studios ne le savaient tout simplement pas. La présence d'un ordinateur avec un système d'exploitation non mis à jour connecté au réseau est un oubli de l'entreprise.
Cette histoire a incité de nombreux studios à s'inquiéter des problèmes de sécurité. Les entreprises ont déjà considérablement amélioré la sécurité après l'
attaque de Sony Pictures en 2014 , qui a entraîné la fuite de dizaines de milliers de courriels. Cependant, les experts en sécurité ont averti depuis longtemps que les sous-traitants, dont il y a beaucoup de studios, manquaient de protection adéquate.
Les studios externalisent le traitement du son, l'étalonnage des couleurs, la mise à l'échelle 3D et bien plus encore. Certains intermédiaires sont de grands acteurs, mais la plupart sont encore de petites entreprises familiales comme Larson Studios. Après avoir piraté Dark Overlord, il y a des rumeurs sur la nécessité de normaliser les systèmes de sécurité pour ces entreprises.
Larson Studios continue de renforcer les mesures de sécurité et tente de restaurer sa réputation. Ce dernier n'est pas particulièrement réussi. Lorsque des informations ont été publiées en mai concernant un vol possible d'un nouvel épisode de Disney's Pirates des Caraïbes, de nombreux journalistes ont cité l'affaire Larson Studios, même si la société n'avait rien à voir avec le film.