La ville de Dallas, au Texas, a subi une attaque de rançongiciel Royal, l’obligeant à fermer certains de ses systèmes informatiques pour empêcher la propagation de l’attaque.
Dallas est la neuvième plus grande ville des États-Unis, avec une population d’environ 2,6 millions d’habitants, selon les données du recensement américain.
Les médias locaux ont rapporté que les communications et les systèmes informatiques de la police de la ville avaient été fermés lundi matin en raison d’une attaque présumée de ransomware.
Cela a conduit les répartiteurs du 911 à devoir écrire les rapports reçus pour les agents plutôt que de les soumettre via le système de répartition assisté par ordinateur.
Le site Web du département de police du comté de Dallas a également été hors ligne pendant une partie de la journée en raison de l’incident de sécurité, mais a depuis été restauré.
Aujourd’hui, la ville de Dallas a confirmé qu’une attaque de ransomware avait causé la perturbation.
« Mercredi matin, les outils de surveillance de la sécurité de la ville ont informé notre centre des opérations de sécurité (SOC) qu’une attaque de ransomware probable avait été lancée dans notre environnement. Par la suite, la ville a confirmé qu’un certain nombre de serveurs avaient été compromis par des ransomwares, affectant plusieurs domaines fonctionnels. , y compris le site Web du département de police de Dallas », a expliqué un communiqué de presse de la ville de Dallas.
« L’équipe de la ville, ainsi que ses fournisseurs, travaillent activement pour isoler le ransomware afin d’empêcher sa propagation, pour supprimer le ransomware des serveurs infectés et pour restaurer tous les services actuellement touchés. Le maire et le conseil municipal ont été informés de l’incident conformément à le Plan d’intervention en cas d’incident (IRP) de la Ville. »
« La Ville travaille actuellement à évaluer l’impact complet, mais pour le moment, l’impact sur la prestation des services de la Ville à ses résidents est limité. Si un résident rencontre un problème avec un service de la Ville en particulier, il doit contacter le 311. Pour les urgences , ils doivent contacter le 911. »
Breachtrace a également confirmé que le système judiciaire de la ville a annulé tous les procès devant jury et les fonctions de jury du 2 mai à aujourd’hui, car leurs systèmes informatiques ne sont pas opérationnels.
Selon l’analyste des menaces d’Emsisoft, Brett Callow, les attaques de ransomwares contre les gouvernements locaux sont répandues, se produisant à un rythme de plus d’une par semaine.
« Les incidents impliquant les gouvernements locaux américains se produisent à un rythme de plus d’un par semaine », a déclaré Callow à Breachtrace .
« Au moins 29 ont été touchés par des ransomwares cette année, avec au moins 16 des 29 ayant eu des données volées. La plupart des incidents impliquent des gouvernements plus petits et Dallas est, je pense, la plus grande ville à être touchée depuis un certain temps. »
Un rançongiciel royal à l’origine de l’attaque de Dallas
Breachtrace a appris que l’opération Royal Ransomware est à l’origine de l’attaque contre la ville de Dallas.
Selon de nombreuses sources, les imprimantes réseau du réseau de la ville de Dallas ont commencé à imprimer des notes de rançon ce matin, le service informatique avertissant les employés de conserver toutes les notes imprimées.
Une photo de la note de rançon partagée avec Breachtrace nous a permis de confirmer que l’opération Royal ransomware a mené l’attaque.
On pense que l’opération Royal ransomware est une émanation du syndicat de la cybercriminalité Conti, qui a pris de l’importance après la fermeture de Conti.
Lors de son lancement en janvier 2022, Royal a utilisé d’autres chiffreurs d’opérations de ransomware, tels que ALPHV/BlackCat, pour éviter de se démarquer. Cependant, ils ont ensuite commencé à utiliser leur propre chiffreur, Zeon, dans des attaques pour le reste de l’année.
Vers la fin de 2022, l’opération a été rebaptisée Royal et est rapidement devenue l’un des gangs de ransomwares ciblant les entreprises les plus actifs.
Alors que Royal est connu pour violer les réseaux en utilisant les vulnérabilités des appareils exposés à Internet, ils utilisent généralement des attaques de phishing par rappel pour obtenir un accès initial aux réseaux d’entreprise.
Ces attaques d’hameçonnage par rappel se font passer pour des fournisseurs de livraison de nourriture et de logiciels dans des e-mails prétendant être des renouvellements d’abonnement.
Cependant, au lieu de contenir des liens vers des sites de phishing, les e-mails contiennent des numéros de téléphone que la victime peut contacter pour annuler l’abonnement présumé. En réalité, ces numéros de téléphone se connectent à un service engagé par les acteurs de la menace royale.
Lorsqu’une victime appelle le numéro, les acteurs de la menace utilisent l’ingénierie sociale pour convaincre la victime d’installer un logiciel d’accès à distance, permettant aux acteurs de la menace d’accéder au réseau de l’entreprise.
Comme d’autres gangs de rançongiciels, Royal est connu pour voler des données sur les réseaux avant de chiffrer les appareils. Ces données volées sont ensuite utilisées comme levier supplémentaire dans les demandes d’extorsion, les acteurs de la menace avertissant qu’ils divulgueront publiquement des données si une rançon n’est pas payée.
À l’heure actuelle, on ne sait pas si des données ont été volées dans la ville de Dallas lors de l’attaque.