Un ransomware infecte le système informatique d'une entreprise de transport de San Francisco Obligeant celle-ci à fournir le transport gratuitement 208PARTAGES 5 0 Ce week-end, pendant que plusieurs entreprises étaient au repos, la régie de transport de la ville de San Francisco, Muni, qui fournit les services de transport dans cette ville avec des bus, des trolleys, des métros légers, des cable cars et des tramways, était aux prises avec un ransomware qui frappé ses systèmes informatiques incluant celui qui gère son service de métros légers et de bus et celui de la messagerie.



Lattaque qui a été menée vendredi dernier a pris en otage le système de messagerie interne de Muni ainsi que les distributeurs de tickets de ce mode de transport affichait sur les écrans des distributeurs : « ;Vous avez été piratés, toutes les données ont été chiffrées ;». En sus, lon pouvait également lire sur les écrans des bornes de paiements des tickets qui ont été infectés par le ransomware le message suivant : « ;Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ;». Selon les premières informations fournies, le ransomware aurait infecté 2 ;112 ordinateurs avec une variante du malware HDDCryptor.



HDDCrytor est un ransomware très virulent qui en plus de cibler les ressources dans les partages réseau telles que les lecteurs, les dossiers, les fichiers, les imprimantes, les ports série à travers le SMB, est également capable de verrouiller le lecteur entier. Pour y arriver, il écrase les données du MBR (premier secteur permettant damorcer le disque) et ajoute un bootloader modifié pour afficher une note de rançon au lieu dafficher lécran de connexion normal de la machine. Comme méthode de chiffrement, HDDCrytor utilise un outil de chiffrement qui prend en charge le chiffrement symétrique AES, les algorithmes de chiffrement Serpent et Twofish, y compris leurs combinaisons en mode XTS.



Et dans le cas de lattaque de Muni, après avoir infecté le réseau de lagence, il se serait attaqué au contrôleur de domaine pour ensuite infecter les systèmes Windows installés sur le réseau de lentreprise. Une fois que le malware est parvenu à chiffrer les équipements, il les redémarre en affichant le message cité plus haut « ;Vous avez été piratés, toutes les données ont été chiffrées, Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ;».





Bien que lon ne sache pas pour linstant le vecteur utilisé pour infecter le réseau de Muni, certains savancent à dire que ce serait certainement à travers louverture dun email piégé ou un téléchargement accidentel. En conséquence à cette attaque, le métro a été offert gratuitement dans la mesure où le système de vente des tickets était non fonctionnel. Par ailleurs, vu que le système interne de lenterprise a été entamé, les employés de lentreprise se demandent sils seront payés à temps ce mois-ci.



Pour récupérer ses données, Muni avait le choix entre payer la rançon de 100 bitcoins (73 ;000 dollars) exigée par les cybercriminels ou compter sur ses propres ressources pour remettre son système sur les rails. Dans un email rédigé par les malfaiteurs, ces derniers ont déclaré que « ;Notre logiciel fonctionne de façon entièrement automatique et nous ne lançons pas dattaques ciblées... Le réseau de la SFMTA était très ouvert et 2 ;000 serveurs/PC ont été infectés par le logiciel. Nous attendons donc le contact de toute personne responsable de la SFMTA, mais je pense quils ne veulent pas dentente. Nous fermons donc ce [compte] courriel demain ;».



Si les informations sont exactes, les responsables navaient aucunement lintention de répondre au chantage des pirates depuis le début. Le dimanche, aux environs de 18 h, Paul Rose, le porte-parole de Muni a confirmé que les portails de paiements étaient opérationnels sans toutefois préciser comment ils ont été remis en état de marche. Dans un message adressé à CBS, Paul Rose rassure en affirmant « ;quil ny a aucun impact sur le service de transport en commun, mais nous avons ouvert les portes tarifaires comme une précaution pour minimiser limpact client ;». Il ajoute que « ;comme il y a enquête en cours, il ne serait pas approprié de fournir des détails supplémentaires à ce stade ;».



Nous précisons que ce nest pas la première fois quune variante du malware HDDCrytor frappe une entité. En février dernier, le centre médical



Source : CBS, Forbes



Et vous ?



Que pensez-vous de cette attaque ?



Selon vous, comment SFMTA a pu se débarrasser de ce ransomware ?



Voir aussi



USA : l'hôpital victime de l'attaque par ransomware paye une rançon de 17 000 $ aux pirates pour reprendre le contrôle de son système informatique

Angleterre : des hôpitaux se voient obligés de suspendre leurs activités pour combattre un virus dans leur système informatique



La Rubrique sécurité , Forum sécurité , Cours et turoriels sécurtité , FAQs Sécurtié Ce week-end, pendant que plusieurs entreprises étaient au repos, la régie de transport de la ville de San Francisco, Muni, qui fournit les services de transport dans cette ville avec des bus, des trolleys, des métros légers, des cable cars et des tramways, était aux prises avec un ransomware qui frappé ses systèmes informatiques incluant celui qui gère son service de métros légers et de bus et celui de la messagerie.Lattaque qui a été menée vendredi dernier a pris en otage le système de messagerie interne de Muni ainsi que les distributeurs de tickets de ce mode de transport affichait sur les écrans des distributeurs : « ;». En sus, lon pouvait également lire sur les écrans des bornes de paiements des tickets qui ont été infectés par le ransomware le message suivant : « ;». Selon les premières informations fournies, le ransomware aurait infecté 2 ;112 ordinateurs avec une variante du malware HDDCryptor.HDDCrytor est un ransomware très virulent qui en plus de cibler les ressources dans les partages réseau telles que les lecteurs, les dossiers, les fichiers, les imprimantes, les ports série à travers le SMB, est également capable de verrouiller le lecteur entier. Pour y arriver, il écrase les données du MBR (premier secteur permettant damorcer le disque) et ajoute un bootloader modifié pour afficher une note de rançon au lieu dafficher lécran de connexion normal de la machine. Comme méthode de chiffrement, HDDCrytor utilise un outil de chiffrement qui prend en charge le chiffrement symétrique AES, les algorithmes de chiffrement Serpent et Twofish, y compris leurs combinaisons en mode XTS.Et dans le cas de lattaque de Muni, après avoir infecté le réseau de lagence, il se serait attaqué au contrôleur de domaine pour ensuite infecter les systèmes Windows installés sur le réseau de lentreprise. Une fois que le malware est parvenu à chiffrer les équipements, il les redémarre en affichant le message cité plus haut « ;;».Bien que lon ne sache pas pour linstant le vecteur utilisé pour infecter le réseau de Muni, certains savancent à dire que ce serait certainement à travers louverture dun email piégé ou un téléchargement accidentel. En conséquence à cette attaque, le métro a été offert gratuitement dans la mesure où le système de vente des tickets était non fonctionnel. Par ailleurs, vu que le système interne de lenterprise a été entamé, les employés de lentreprise se demandent sils seront payés à temps ce mois-ci.Pour récupérer ses données, Muni avait le choix entre payer la rançon de 100 bitcoins (73 ;000 dollars) exigée par les cybercriminels ou compter sur ses propres ressources pour remettre son système sur les rails. Dans un email rédigé par les malfaiteurs, ces derniers ont déclaré que « ;;».Si les informations sont exactes, les responsables navaient aucunement lintention de répondre au chantage des pirates depuis le début. Le dimanche, aux environs de 18 h, Paul Rose, le porte-parole de Muni a confirmé que les portails de paiements étaient opérationnels sans toutefois préciser comment ils ont été remis en état de marche. Dans un message adressé à CBS, Paul Rose rassure en affirmant « ;;». Il ajoute que « ;;».Nous précisons que ce nest pas la première fois quune variante du malware HDDCrytor frappe une entité. En février dernier, le centre médical Hollywood Presbyterian Medical Centre à Los Angeles a fait les frais de ce ransomare.et a dû payer une rançon de 17 ;000 dollars aux pirates pour reprendre le contrôle de son système. En 2013, HDDCrytor a infecté 234 ;000 ordinateurs au Royaume-Uni, nécessitant une opération globale de la police pour le neutraliser. Comme on peut le constater, se débarrasser de HDDCrytor sur un système savère très difficile. Nous aurions donc bien voulu savoir comment la régie de transport de San Francisco (SFMTA) a bien pu se débarrasser de ce parasite.Source : SFMTA Que pensez-vous de cette attaque ?Selon vous, comment SFMTA a pu se débarrasser de ce ransomware ? Une erreur dans cette actualité ? Signalez-le nous ! Votre nom : Votre e-mail : Décrivez l'erreur que vous souhaitez porter à notre connaissance : 15 commentaires Poster une réponse Signaler un problème Les mieux notés Les plus récents Ordre chronologique Expert éminent https://www.developpez.com



Soit j'ai loupé un truc, soit les chroniqueurs (DVP comme source) ont besoin d'améliorer leurs capacités de lecture. 3 0 Euh, sauf que si l'article DVP ainsi que l'article source parlent de menaces en vue d'être payé, la traduction comme le mail original vont complètement à rebours de cette annonce : les hackers critiquent le manque de sécurité du système et menacent de partager les données si ce problème n'est pas corrigé. Aucune requête de paiement n'est formulée. Ils demandent même à la fin des dons de la part de ceux qui sont d'accord avec eux, ce qui n'aurait tout simplement pas de sens dans le cadre d'une menace. C'est un mail de Robin des Bois, pas une menace pour être payé.Soit j'ai loupé un truc, soit les chroniqueurs (DVP comme source) ont besoin d'améliorer leurs capacités de lecture. Membre averti https://www.developpez.com Envoyé par Matthieu Vergne Envoyé par Aucune requête de paiement n'est formulée. Ils demandent même à la fin des dons de la part de ceux qui sont d'accord avec eux, ce qui n'aurait tout simplement pas de sens dans le cadre d'une menace.



Soit il manque un bout, soit Olivier n'a pas compris sa propre traduction.

Ceci dit, quitte à balancer un ransomware, c'est bizarre de ne pas utiliser ces fameuses données pour obtenir de l'argent, sauf si Muni a payé sans le dire pour enlever HDDCrypt (donc les pirates ne veulent pas surenchérir avec une deuxième demande de rançon) 2 0 +1Soit il manque un bout, soit Olivier n'a pas compris sa propre traduction.Ceci dit, quitte à balancer un ransomware, c'est bizarre de ne pas utiliser ces fameuses données pour obtenir de l'argent, sauf si Muni a payé sans le dire pour enlever HDDCrypt (donc les pirates ne veulent pas surenchérir avec une deuxième demande de rançon) Membre extrêmement actif https://www.developpez.com

Les sources de l'article ne citent que l'unique point vue de Muni, pas celui des hackers. 1 0 Il est également possible que la société de transport ait modifié le courrier électronique original du groupe de hackers en vue de les tourner en ridicule dans la presse et gagner du temps le temps que la police identifie les activistes et libère la pression qui pèse sur SFMTA.Les sources de l'article ne citent que l'unique point vue de Muni, pas celui des hackers. En attente de confirmation mail https://www.developpez.com Envoyé par kilroyFR Envoyé par est-ce que ce genre de probleme peut arriver si a la place de PC Windows les equipements/postes de travail fonctionnaient sous Linux ? 1 0 Croire que l'usage de Linux vous protège des cybercriminels est un mythe! Expert confirmé https://www.developpez.com Envoyé par jonnyevans015 Envoyé par Vérifiez également ce site.. 1 0 Pourquoi devrait-on vérifier ce site ? il est aussi infecté et on doit le vérifier pour toi ? Membre éprouvé https://www.developpez.com 1 1 est-ce que ce genre de probleme peut arriver si a la place de PC Windows les equipements/postes de travail fonctionnaient sous Linux ? Expert éminent https://www.developpez.com 0 0 Et comme tout mythe il a sa part de vérité. Candidat au Club https://www.developpez.com 0 0 JE pense qu'ils non pas vraiment de quoi influencé l'entreprise !! Candidat au Club https://www.developpez.com

Bien-sure !! tout personne a un sécret 0 0 Bien-sure !! tout personne a un sécret Membre confirmé https://www.developpez.com Envoyé par Matthieu Vergne Envoyé par Et comme tout mythe il a sa part de vérité. 0 0 Je suis un adepte convaincu du manchot mais niveau sécurité je ne m'y connais pas du tout. Vu que tu es chercheur en sécurité d'après ton profil, tu aurais des exemples qui montreraient une meilleure sécurisation de Linux vs Windows stp (distros et/ou noyau) ? J'ai toujours voulu clarifier ce point de mon côté. Poster une réponse Signaler un problème

