Sécurité IT : un ransomware prend le métro à San Francisco

Surprise ce vendredi pour les usagers des transports en commun à San Francisco.

Sur l’écran des distributeurs de billets, on pouvait lire, dans un anglais approximatif, un curieux message : « Vous Piraté, TOUTES les Données Cryptées, Contact Pour la Clé(cryptom27@yandex.com) ID: 681 ,Entrez la Clé: ».

Le Muni – service municipal chargé du réseau, qui comprend les métros, les tramways, les bus et le fameux Cable Car – n’a pas tarder à confirmer à la presse sur place la présence d’un ransomware dans son système informatique.

Selon les premiers éléments de l’enquête, plus de 2 000 PC et serveurs ont été affectés, sur un parc d’environ 8 000 machines.

Les transports sont restés gratuits tout le week-end, le temps que la situation rentre dans l’ordre. Du côté du Muni, on assure que la sécurité du réseau n’est pas remise en cause et que les salariés seront payés.

L’adresse e-mail mentionnée dans le message était déjà associée au rançongiciel Mamba, mis en lumière il y a quelques semaines et dont le modus operandi est proche.

Un média américain a pris contact par ce biais et a obtenu une réponse d’un certain « Andy Saolis » qui précise que le Muni ne l’a pas contacté, avant de préciser ses deux motivations : « pour l’argent » et « pour que la société sécurise mieux son IT ». Et d’indiquer avoir réclamé, pour débloquer la situation, la somme de 100 bitcoins, soit environ 73 000 dollars au cours actuel de la crypto-monnaie.

* Le pseudonyme « Andy Saolis » est, comme le souligne Silicon.fr, souvent utilisé dans les rançongiciels de type HDDCryptor, qui chiffrent les volumes de stockage et le partage réseau sur les machines Windows. Le malware est capable d’écraser les secteurs d’amorçage pour empêcher le système de démarrer correctement.

Photos via Hacker News