Fin mai, BreachTrace a alerté de nombreux responsables dans Florence, Al. que leurs systèmes informatiques avaient été infiltrés par des pirates spécialisés dans le déploiement de ransomwares. Néanmoins, le vendredi 5 juin, les intrus ont lancé leur attaque, déployant un rançongiciel et exigeant près de 300 000 $ en bitcoins. Les responsables de la ville disent maintenant qu’ils prévoient de payer la demande de rançon, dans l’espoir de garder les données personnelles de leurs citoyens hors d’Internet.
Nichée dans le coin nord-ouest de l’Alabama, Florence abrite environ 40 000 habitants. Il fait partie d’une zone métropolitaine de quatre villes peut-être mieux connue pour le Studio de son Muscle Shoals qui a enregistré les tonalités suaves de nombreux grands noms de la musique dans les années 1960 et 1970.
Image: Florenceal.org
Le 26 mai, suite à un conseil de la société de cybersécurité basée à Milwaukee, Wisc. Garder la sécurité BreachTrace a contacté le bureau du maire de Florence pour les alerter qu’un système Windows 10 dans leur environnement informatique avait été réquisitionné par un gang de rançongiciels.
Comparaison des informations partagées par le spécialiste du dark web de Hold Security Yuliana Bellini avec le répertoire des employés sur le site Web de Florence indiquait le nom d’utilisateur de l’ordinateur que les attaquants avaient utilisé pour prendre pied sur le réseau le 6 mai appartenait au directeur des systèmes d’information de la ville.
Mon appel a été transféré à pas moins de trois personnes différentes, dont aucune ne semblait désireuse de donner suite à l’information. Finalement, j’ai été dirigé vers la ligne non urgente du département de police de Florence. Lorsque cet appel est allé directement à la messagerie vocale, j’ai laissé un message et j’ai appelé l’équipe d’intervention d’urgence de la ville.
Ce dernier effort a suscité un appel aimable le lendemain d’un administrateur système de la ville, qui m’a remercié pour l’avertissement et m’a dit que lui et ses collègues avaient isolé l’ordinateur et le compte réseau Windows que Hold Security avait signalé comme piraté.
« Je ne peux pas vous dire à quel point nous sommes reconnaissants que vous nous ayez aidés à éviter cette balle », a déclaré le technicien dans un message vocal pour cet auteur. «Nous avons tout pris en charge maintenant, et certains protocoles différents sont en place. J’espère que nous n’aurons pas une autre quasi-peur comme nous l’avons fait, et j’espère que nous n’aurons plus à nous parler.
Mais vendredi, Steve Holt, maire de Florence confirmé qu’une cyberattaque avait paralysé le système de messagerie de la ville. Holt a déclaré aux médias locaux à l’époque qu’il n’y avait aucune indication qu’un rançongiciel était impliqué.
Cependant, dans une interview avec BreachTrace mardi, Holt a reconnu que la ville était extorquée par DoppelPaymerun gang de rançongiciels réputé pour négocier certains des paiements d’extorsion les plus élevés parmi des dizaines de familles de rançongiciels connues.
Le paiement moyen d’un ransomware par souche de ransomware. Source : Analyse de la chaîne.
Holt a déclaré que le même gang semble avoir simultanément compromis les réseaux appartenant à quatre autres victimes à moins d’une heure de Florence, y compris une autre municipalité qu’il a refusé de nommer. Holt a déclaré que les extorqueurs avaient initialement demandé 39 bitcoins (~ 378 000 USD), mais qu’une société de sécurité extérieure engagée par la ville avait négocié le prix à 30 bitcoins (~ 291 000 USD).
Comme de nombreux autres gangs de cybercriminalité opérant ces jours-ci, DoppelPaymer volera des tonnes de données aux victimes avant de lancer le ransomware, puis menacera de publier ou de vendre les données à moins qu’une demande de rançon ne soit payée.
Holt a déclaré à BreachTrace que la ville ne peut pas se permettre de voir les données personnelles et financières de ses citoyens compromises en ne payant pas.
« Est-ce qu’ils ont nos affaires ? Nous ne savons pas, mais c’est le coup de dés », a déclaré Holt.
Steve Prix, le responsable informatique de Florence dont les informations d’identification Microsoft Windows ont été volées le 6 mai par une attaque de phishing sur le thème de DHL et utilisées pour compromettre davantage le réseau de la ville, a expliqué que suite à ma notification le 26 mai, la ville a immédiatement pris un certain nombre de mesures préventives pour éviter un incident de ransomware potentiel. Price a déclaré que lorsque le ransomware a frappé, ils étaient en train d’essayer d’amener les dirigeants de la ville à approuver des fonds pour une enquête et une correction plus approfondies.
« Nous essayions d’obtenir un autre [cybersecurity] société d’intervention impliquée, et c’est ce que nous essayions de faire passer au conseil municipal vendredi lorsque nous avons été touchés », a déclaré Price. « Nous pensons que nous pouvons reconstruire notre réseau, mais nous ne pouvons pas annuler les choses si les informations personnelles des gens sont divulguées. »
Une note de rançon DoppelPaymer. Image : Foule.
Fabien Wosardirecteur technique chez Emsisoftont déclaré que les organisations doivent comprendre que la seule étape qui garantit qu’une infestation de logiciels malveillants ne se transformera pas en une attaque de ransomware complète est de reconstruire complètement le réseau compromis, y compris les systèmes de messagerie.
« Il existe une croyance erronée selon laquelle si vous avez été compromis, vous pouvez vous en sortir avec autre chose qu’une reconstruction complète des réseaux et de l’infrastructure concernés », a déclaré Wosar.notant qu’il n’est pas rare que les acteurs de la menace gardent le contrôle même lorsqu’une organisation victime d’un ransomware restaure ses systèmes à partir de sauvegardes.
« Ils démontrent même souvent qu’ils « possèdent » toujours le réseau en publiant des captures d’écran de messages parlant de l’incident », a déclaré Wosar.
Fondateur de Hold Security Alex Holden a déclaré que la situation de Florence n’est que trop courante et que très souvent, les fournisseurs de ransomwares sont à l’intérieur du réseau d’une victime pendant des semaines ou des mois avant de lancer leur malware.
« Nous avons souvent des aperçus des méchants qui commencent leurs assauts contre les réseaux informatiques et nous faisons de notre mieux pour informer les victimes de l’attaque », a déclaré Holden. « Puisque nous ne pouvons pas voir tous les aspects de l’attaque, nous conseillons aux victimes de mener une enquête complète sur les événements, sur la base des preuves recueillies. Mais lorsque nous traitons des situations sensibles comme les ransomwares, le timing et la précision sont essentiels. Si la victime écoute et recherche des avis d’experts, elle a de grandes chances de réussir à arrêter la violation avant qu’elle ne se transforme en rançon.