Certains pensent qu’un distributeur automatique infecté par un logiciel de rançon, un horaire affichant un message des escrocs à l’aéroport ou une machine à sous exigeant une rançon en bitcoins sont des légendes urbaines. Néanmoins, toutes ces choses ont été observées pendant l’épidémie de WannaCry il y a trois ans. C’est pourquoi aujourd’hui, à l’occasion de la Journée contre les ransomwares, nous avons décidé de nous souvenir de ces cas particuliers.
Qui songerait à infecter un terminal de paiement avec un ransomware ? Quel pourrait être le bénéfice ? Le fait est que les créateurs de WannaCry n’ont pas choisi de cibles explicites pour leur malware. Le virus est entré dans le réseau par le biais d’ordinateurs personnels ordinaires et a infecté tous les appareils qu’il pouvait atteindre grâce à une vulnérabilité non corrigée du protocole SMB. Cela signifie que le ransomware a infecté un grand nombre d’appareils qui ne contenaient pas, ou ne pouvaient pas contenir, de données précieuses pour lesquelles une victime serait prête à payer une rançon. Ces dispositifs sont simplement des dommages collatéraux de l’attaque.
De nombreux autres types de malwares sont similaires à WannaCry mais ne disposent pas d’un mécanisme de diffusion aussi pratique. Pourtant, les créateurs de ces autres outils de chiffrement ne sont pas non plus très attentifs au choix de leurs cibles. Ainsi, il arrive que des dispositifs qui n’offrent pas de gain financier pour les attaquants soient quand même victimes de ransomwares. Ce tour d’horizon des dispositifs les plus inhabituels à avoir été infectés par des ransomwares vous montre à quel point les victimes de ces attaques peuvent être aléatoires.
1. Matériel médical
La photo publiée sur Forbes montre l’écran d’un dispositif médical utilisé pour améliorer la qualité de l’image obtenue par une machine IRM et qui suit le flux de l’agent de contraste dans le patient. Il est inutile d’expliquer à quel point il est important de fournir un diagnostic rapide à un patient en utilisant l’imagerie par résonance magnétique. Et quelles pourraient être les conséquences si un tel appareil était saboté en plein milieu d’une procédure ?
2. Caméras de circulation
Les caméras qui enregistrent les infractions au code de la route étaient déjà victimes de cyberattaques bien avant l’épidémie de WannaСry. Il s’agissait le plus souvent d’accès illégaux ou de sabotages. Cependant, 590 conducteurs de l’État australien de Victoria peuvent remercier le malware grâce auquel ils ne paieront pas d’amendes. Selon ITNews, les caméras infectées étaient pleinement opérationnelles. La police a décidé de ne pas utiliser ces preuves pour encaisser les amendes puisque les infractions ont été enregistrées par des appareils compromis.
3. Distributeurs automatiques
Les distributeurs automatiques du monde entier ont été touchés par WannaCry. Il suffisait de réinstaller le système d’exploitation pour remettre un distributeur infecté en état de marche. Cependant, cela prend du temps, surtout dans le cas d’une infection massive. De plus, ces appareils sont généralement connectés au même réseau et bénéficient de la même protection, si bien que si l’un d’entre eux tombe en panne, tous les autres sont également touchés. Même si l’argent en liquide des distributeurs automatiques n’était pas menacé, de nombreuses banques ont dû travailler dur pour reconstruire leurs réseaux de distributeurs automatiques de billets. Sans compter les pertes de réputation dont elles ont été victimes !
4. Écrans d’arrivée et de départ
WannaCry n’a pas épargné les écrans d’arrivée et de départ des aéroports ou des gares. Dans ce cas, il est peu probable que quelqu’un paye une rançon. Ces dispositifs ne stockent aucune information de valeur. Néanmoins, la restauration de ces tableaux coûte du temps et de l’argent. De plus, n’oubliez pas le sort des passagers : des écrans non fonctionnels dans les gares et les aéroports peuvent leur causer beaucoup de soucis. Et si les passagers n’arrivent pas à temps en raison de cet incident, qui est tenu pour responsable ?
5. Panneaux d’affichage extérieurs
Les panneaux d’affichage ont également été victimes de ransomwares. Outre les remarques sarcastiques des passants et l’énervement de ceux qui ont été envoyés pour réparer ou remplacer ces affiches, les annonceurs ont été les principales victimes et ont subi des pertes de réputation importantes. Après tout, ils sont payés pour afficher les vidéos ou les publicités de leurs clients, et si un message de rançon bloque l’écran alors ils ne respectent pas le contrat signé. De tels incidents peuvent également décourager les entreprises de continuer à utiliser les services de la société de publicité concernée.
6. Terminaux de paiement de stationnement
Imaginez que vous reveniez au parking où vous avez laissé votre voiture et que vous voyiez un message de rançon sur le terminal de paiement. Vous ne pouvez pas payer votre stationnement, ce qui signifie que la barrière ne se lèvera pas lorsque vous essaierez de sortir du parking. Dans ce cas, la principale victime est, bien évidemment, l’exploitant du garage. Tous ceux qui n’ont pas pu venir se garer ou partir en temps voulu seront furieux contre l’entreprise.
7. Distributeurs de billets de transport
Les machines de vente de billets ont également été infectées. À San Francisco, les distributeurs de billets du système de métro BART ont été hors service pendant 2 jours suite à une attaque du ransomware Mamba. Les cybercriminels ont exigé 73 000 dollars à l’opérateur de transport. Cependant, la victime a refusé de payer la rançon (ce qui est la bonne décision, selon nous). Par conséquent, l’Agence municipale des transports de San Francisco (SFMTA) a été contrainte de distribuer gratuitement des tickets de métro jusqu’à ce que les machines aient pu être réparées.
Ce qu’il faut en retenir
Si tous ces appareils ont involontairement été infectés par un ransomware c’est en grande partie parce que leurs opérateurs n’ont pas jugé nécessaire d’installer une solution de protection à jour, et de mettre à jour leurs systèmes d’exploitation en temps utile. Comme la pratique l’a montré, beaucoup de gens ne savent pas que ces appareils ne sont que des ordinateurs qui, le plus souvent, exécutent l’une ou l’autre version de Windows, et qui présentent donc toutes les vulnérabilités de cette famille de systèmes d’exploitation.
Par conséquent, si votre entreprise utilise ce type d’équipement, nous vous invitons à suivre les conseils suivants :
- Déplacez ces machines dans un sous-réseau séparé pour les isoler des autres ordinateurs.
- Installez dès que possible les correctifs du système d’exploitation.
- Installez des solutions de protection appropriées.
Il s’avère que notre gamme de produits comprend une solution de protection spécialisée pour ce type d’appareils : Kaspersky Embedded Systems Security. Ce programme protège même les ordinateurs intégrés d’assez faible puissance, comme ceux que l’on trouve souvent dans les distributeurs automatiques, les terminaux de paiement et autres dispositifs similaires.