Le week-end dernier, les 26 et 27 novembre, les usagers empruntant les transports en commun de San Francisco ont été surpris de découvrir qu’ils n’avaient pas été obligés de payer leurs trajets. Tout le monde a voyagé gratuitement pendant ces deux jours. Un rêve socialiste serait-il devenu réalité ? Pas vraiment. La SFMTA (San Francisco Municipal Transportation Agency) plus connue sous le nom de Muni, ne pouvait plus vendre de tickets à cause d’un piratage provoqué par un ransomware.
Certains médias affirment que le problème s’était manifesté quelques jours plus tôt, juste avant Thanksgiving, lorsque des distributeurs de tickets avaient affiché un message indiquant « Vous piraté ». Comme d’habitude, le ransomware est apparu avec plein de fautes grammaticales. Il semblerait que le ransomware appelé Mamba, qui est une variante de HDDCryptor, ait pris le contrôle de plus de 2000 ordinateurs appartenant à la SFMTA.
Mamba (et HDDLocker ; considérons que ce sont les mêmes pour le reste de l’article) est un morceau de ransomware qui chiffre tout le disque dur et change le master boot record (MDR) pour empêcher des ordinateurs infectés de charger leurs systèmes d’exploitation, en affichant à la place le message des hackers.
Les créateurs de Mamba ont utilisé des utilitaires open-source en tant que parties du Cheval de Troie, et ce, entre autres, en les aidant à créer un algorithme fort. Il n’y a donc pas dans ce cas d’autre solution que celle de payer les cybercriminels pour récupérer les fichiers chiffrés par Mamba.
Les auteurs de Mamba ont poussé la SFMTA à les contacter à l’adresse cryptom27@yandex.com. Un journaliste du San Francisco Examiner a utilisé cet e-mail, lui permettant d’être en contact avec les cybercriminels, qui se sont présentés sous le pseudo d' »Andy Saolis ». Selon l’histoire de Saolis, l’attaque contre Muni n’était pas ciblée, le système a été infecté tout simplement parce que quelqu’un avec des privilèges d’administrateur a téléchargé et infecté un fichier torrent.
Saolis a aussi rapporté à Examiner que la SFMTA avait dû payer 100 bitcoins (environ $73 000) pour rendre ses ordinateurs de nouveau opérationnels. Mais il semblerait que la SFMTA ait réussit à résoudre le problème sans payer la rançon. Plus dans tard dans la journée du dimanche, les distributeurs de tickets refonctionnaient.
Les chercheurs antimalware de Kaspersky Lab suivent de près l’acteur de la menace responsable de l’attaque. Il semblerait que Mamba soit généralement utilisé pour attaquer des entreprises et sociétés. L’attaque contre Muni n’est pas le premier coup d’essai de Mamba. En réalité, 100 bitcoins représentent une petite rançon pour ces standards des cybercriminels. En général, ils demandent beaucoup plus.
Par conséquent, Mamba semble être une menace vraiment néfaste. Que pouvez-vous faire pour vous protéger, vous et votre entreprise ?
1. La SFMTA a été en mesure de rendre opérationnel Muni assez rapidement grâce à des sauvegardes qu’elle avait faites. Il convient de noter que ces sauvegardes n’étaient pas sur des partages en réseau, faute de quoi, Mamba aurait pu également les chiffrer.
La leçon à retenir ici : Faites comme la SFMTA et sauvegardez vos données régulièrement. Conservez vos sauvegardes soit sur le Cloud, soit sur des disques durs externes, pas sur un ordinateur ni sur des périphériques de stockage en réseau.
2. Soyez encore plus intelligent que la SFMTA et évitez d’être infecté par Mamba ou tout autre ransomware. A la place, utilisez une solution de sécurité efficace. Kaspersky Internet Security détecte Mamba (et HDDCryptor, et autres du genre) comme étant HEUR:Trojan.Win32.Generic et ne leur laisse aucune chance de chiffrer quoi que ce soit.