Discussion :

[Stéphane le calme]

Des hackers ont attaqué les ordinateurs de la ville de Baltimore au ransomware,
bloquant l'accès à certains services essentiels depuis deux semaines

Cela fait déjà deux semaines que les réseaux de la ville de Baltimore ont été fermés à la suite d'une attaque de ransomware. Le 7 mai, des pirates informatiques ont verrouillé les données d’environ 10 000 ordinateurs du gouvernement à Baltimore et ont exigé environ 100 000 USD de rançon en bitcoins pour les restituer.

L’attaque du ransomware s’est produite en pleine transition à l’hôtel de ville. Le maire Bernard C. «Jack» Young a officiellement pris ses fonctions quelques jours avant l'attaque, après la démission de l'ancienne maire Catherine Pugh, qui fait actuellement l'objet d'une enquête pour corruption. Et certains postes critiques du personnel du maire sont restés vacants - la chef de cabinet adjointe aux opérations du maire, Sheryl Goldstein, a commencé à travailler lundi 20 mai 2019.

Baltimore, comme plusieurs autres villes touchées par de telles attaques ces deux dernières années, a refusé de payer la rançon. Par conséquent, pendant deux semaines, la ville a dû mettre progressivement en place des solutions manuelles étant donné que les fonctionnaires et les citoyens n’avaient plus accès à certains services essentiels, notamment les sites Web sur lesquels ils paient leurs factures d'eau, leurs taxes foncières et leurs contraventions de stationnement.

Il s’agit de la deuxième attaque de ransomware menée contre Baltimore en environ 15 mois : l’année dernière, une attaque distincte a fermé le système 911 de la ville pendant environ une journée. Baltimore a fait l’objet d’un examen minutieux pour sa gestion des deux attaques.

Les attaques de ransomware à Baltimore et dans d’autres administrations locales aux États-Unis démontrent qu’à mesure que les attaques de ransomware se propagent les cibles potentielles, telles que les hôpitaux et les écoles, doivent renforcer la sécurité de leurs systèmes en ligne, étant donné que de nombreuses cibles restent vulnérables à ce type de piratage.

Comment les hackers s’y sont pris ?

Le 7 mai, des pirates informatiques ont ciblé la ville de Baltimore à l'aide d'un ransomware appelé RobbinHood, qui, comme l'explique NPR, rend impossible l'accès à un serveur sans une clé numérique que seuls les pirates possèdent. Il est impossible de reproduire cette clé sans les hackers, a déclaré Avi Rubin, professeur d'informatique et expert en cybersécurité à Johns Hopkins qui a déjà été amené à témoigner dans ce domaine devant le Congrès.

« Je ne pense même pas que la NSA serait capable de casser cet algorithme », a-t-il déclaré. « La communauté cryptographique, aussi bien les théoriciens que les praticiens, croit que les technologies actuelles ne peuvent être brisées ».

La note de la rançon des hackers de Baltimore, obtenue par le Baltimore Sun, exigeait le paiement de trois bitcoins par système à déverrouiller, soit 13 bitcoins pour déverrouiller tous les systèmes saisis. Les hackers menaçaient d’augmenter la valeur de la rançon si elle n’était pas payée dans les quatre jours, et indiquaient que les données seraient perdue à jamais s’ils ne recevaient pas leur paiement dans les 10 jours. Les deux délais sont maintenant passés.

Le gouvernement municipal a refusé de payer, ce qui signifie que les systèmes de messagerie électronique et les plateformes de paiement du gouvernement qui ont été attaqués sont restées hors ligne. L’attaque a également porté préjudice au marché immobilier de Baltimore, car les responsables n’étaient pas en mesure d’accéder aux systèmes nécessaires pour finaliser la vente de biens immobiliers (la ville a déclaré que les transactions avaient repris lundi.)

Le maire de Baltimore, Jack Young, qui est officiellement dans son bureau depuis moins d'un mois, a déclaré dans un communiqué vendredi que les responsables de la ville étaient « bien engagés dans le processus de restauration » et avaient « engagé des experts de premier plan en matière de cybersécurité, travaillant 24 heures sur 24 et 7 jours sur 7 avec nous ». Le FBI est également impliqué dans l'enquête.

« Certains efforts de restauration requièrent également de reconstruire certains systèmes pour nous assurer que, lorsque nous restaurons les fonctions de l'entreprise, nous le faisons de manière sécurisée », a déclaré Young. Il n'a pas proposé de calendrier pour le retour en ligne de tous les systèmes.

Le président du conseil municipal de Baltimore prévoit également de créer un comité spécial chargé d’enquêter sur cette dernière attaque et de s’assurer que cela ne se reproduira plus.

Une attaque similaire utilisant RobbinHood a frappé des ordinateurs du gouvernement à Greenville, en Caroline du Nord, en avril. Un porte-parole de Greenville a déclaré au Wall Street Journal que la ville ne s’est jamais abaissé à payer et que, même si ses systèmes n’étaient pas entièrement restaurés, « tous nos besoins technologiques majeurs sont désormais satisfaits ».

Plus de 20 municipalités aux États-Unis ont été touchées par des cyberattaques cette année seulement. Et de telles attaques peuvent coûter cher. En 2018, des pirates informatiques ont demandé à Atlanta de payer environ 50 000 dollars en bitcoins dans le cadre d'une attaque par ransomware. La ville a refusé et, selon un rapport obtenu par Atlanta Journal-Constitution et Channel 2 Action News, l'attaque a coûté 17 millions de dollars à la ville.

Des citoyens frustrés

Entre-temps, les habitants de Baltimore sont frustrés de l’absence de plan en matière de cyber-catastrophes.

« Le fait que vous disposiez d'un système informatique sans aucun plan de secours en place lorsque de telles choses se produisent après avoir été observées par d'innombrables autres villes est juste frustrant et décevant », a déclaré Ashley Merson, une nourrice de 31 ans.

Merson économise pour une maison depuis quatre ans. Elle a payé ses dettes et a finalement pu faire une offre pour une maison. Elle est plus que prête à déménager pour un endroit où elle, son jeune fils et son frère vivraient mieux.

Mais au moment où elle était sur le point d’en finaliser l’achat, les attaques de logiciels malveillants ont frappé.

« Le processus d'achat d'une maison est si long et fastidieux de toute façon », a déclaré Merson. « Attendre est difficile ».

Les responsables municipaux ont annoncé l'élaboration d'un plan de « contournement manuel » en plusieurs étapes lundi, près de deux semaines après la première violation des serveurs de la ville.

Sources : Baltimore Sun, National Public Radio, déclarations de la ville

Voir aussi :

Européennes : des hackers russes propageraient des fake news pour favoriser l'extrême droite, selon The New York Times
Un hacker vide des centaines de dépôts privés Git et demande une rançon aux devs sous peine de se servir de leur travail ou de le rendre public
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Symantec : le formjacking constitue la nouvelle forme d'attaque utilisée par les pirates pour s'enrichir encore plus vite qu'avec les ransomwares
Une entreprise prétend déverrouiller les fichiers de ses clients victimes de ransomwares mais paie la rançon, en se faisant une grosse marge

[NBoulfroy]

Il y a quand même quelque chose de flippant dans cette affaire : si une ville aussi importante que Baltimore se fait hack, l'infrastructure fédérale peut elle l'être aussi ?

Non parce que bon, on est plus à un serveur non sécurisé près (cf. l'article d'un serveur qui était en full access et qui contenait des données très sensibles par un organisme public il y a quelques moi).

[marsupial]

Pour répondre à la question je serai affirmatif. Wanna cry se répend toujours largement aux États-Unis faute de systèmes patchés. La pénurie de profils en cybersécurté s'élève à 1,4 millions de postes vacants. Les OIV américains se trouvent dans la même panade que l'infrastructure fédérale.

[Aurelien Plazzotta]

La municipalité d'Atlantla refuse de s'abaisser à payer 50 000$ de rançon alors préfère dépenser 17 millions $ à la place sur le dos du contribuable...
Bravo, c'est très mâture et responsable de la part des élus locaux :/

Les rançons ayant selon moi comme principal objectif de dénoncer la corruption plutôt que chercher à générer des fortunes.
Leur comportement risque de renouveller les attaques.

[eldran64]

@Aurelien Plazzotta: la première chose qui prime est de ne pas négocier avec les terroristes. Si vous payez une fois, ca veut dire que vous allez raquer à chaque fois que quelqu'un vous fera chanter. Si j'étais citoyen de cette ville, je préférerai dépenser 17M€ pour réparer les dégâts et se prémunir de futurs attaques plutôt que de payer une rançon sans aucune garantie de contrepartie.

[NBoulfroy]

@Aurelien Plazzotta: la première chose qui prime est de ne pas négocier avec les terroristes. Si vous payez une fois, ca veut dire que vous allez raquer à chaque fois que quelqu'un vous fera chanter. Si j'étais citoyen de cette ville, je préférerai dépenser 17M€ pour réparer les dégâts et se prémunir de futurs attaques plutôt que de payer une rançon sans aucune garantie de contrepartie.

Je suis d'accord avec ça mais j'ai des doutes sur le fait qu'ils vont investir pour régler le problème ...

[Aurelien Plazzotta]

@Aurelien Plazzotta: la première chose qui prime est de ne pas négocier avec les terroristes. Si vous payez une fois, ca veut dire que vous allez raquer à chaque fois que quelqu'un vous fera chanter. Si j'étais citoyen de cette ville, je préférerai dépenser 17M€ pour réparer les dégâts et se prémunir de futurs attaques plutôt que de payer une rançon sans aucune garantie de contrepartie.

Je suis d'accord avec vous pour la première moitié et en désaccord concernant la fin de votre affirmation.
Les 17 millions $ n'ont servi qu'à payer les dégâts occasionnés par le blocage de leurs logiciels suite à un défaut de paiement pour des questions d'orgueil. Il n'est révélé nulle part que l'argent dépensé a servi à sécuriser quoi que se soit pour éviter que l'usage du logiciel de rançon ne se reproduise.

La ville pouvait payer la rançon et sécuriser ensuite leur système d'informations grâce à l'expérience acquise, ça aurait plus intelligent et moins coûteux.

Il aurait d'ailleurs été encore plus intelligent d'embaucher les pirates. Avec 17 millions de $, la ville aurait pu s'offrir les services de dizaines d'experts en sécurité informatique pendant des années.

[redcurve]

J'aimerai pas être à la place de la personne qui a lancé ce logiciel . Le plus inquiétant est qu'ils n'ont aucun plan de secours... ça laisse songeur. J'imagine aussi que l'infrastructure n'est pas à jour non plus, routeurs etc. jamais mis à jour voir même des machines dont personne ne sait à quoi elles servent (vu chez Axa) du coup personne n'ose les arrêter et encore moins les déconnecter .

[Stéphane le calme]

Baltimore : le retour à la normale après l'attaque par ransomware va coûter plus de 18 millions de dollars,
l'addition pourrait être plus salée

Cela fait un mois que les réseaux de la ville de Baltimore ont été paralysés suite à une attaque par ransomware. Le 7 mai, des pirates informatiques ont verrouillé les données d’environ 10 000 ordinateurs du gouvernement à Baltimore et ont exigé environ 100 000 USD de rançon en bitcoins pour les restituer.

L’attaque du ransomware s’est produite en pleine transition à l’hôtel de ville. Le maire Bernard C. «Jack» Young a officiellement pris ses fonctions quelques jours avant l'attaque, après la démission de l'ancienne maire Catherine Pugh, qui fait actuellement l'objet d'une enquête pour corruption. Et certains postes critiques du personnel du maire sont restés vacants - la chef de cabinet adjointe aux opérations du maire, Sheryl Goldstein, a commencé à travailler lundi 20 mai 2019.

Baltimore, comme plusieurs autres villes touchées par de telles attaques ces deux dernières années, a refusé de payer la rançon. Par conséquent, pendant un mois, la ville a dû mettre progressivement en place des solutions manuelles étant donné que les fonctionnaires et les citoyens n’avaient plus accès à certains services essentiels, notamment les sites Web sur lesquels ils paient leurs factures d'eau, leurs taxes foncières et leurs contraventions de stationnement.

Un retour à la normale qui va coûter 10 millions de dollars

Mardi, le maire Bernard C. «Jack» Young et son cabinet ont informé la presse sur l'état d'avancement du retour à la normale qui, selon le directeur des finances de la ville, va coûter 10 millions de dollars à Baltimore, sans compter les 8 millions de dollars perdus en raison de revenus différés / non acquis (acompte enregistré sur la balance du client comme une dette jusqu'à ce que les services aient été rendus ou que les produits aient été livrés) ou perdus à cause de l’incapacité de la ville à traiter les paiements.

La reprise en est encore à ses débuts : moins du tiers des employés de la ville ont déjà reçu de nouveaux identifiants de connexion et de nombreuses fonctions commerciales de la ville se limitent aux solutions de contournement sur papier.

« Tous les services de la ville restent ouverts et Baltimore est ouverte aux affaires », a déclaré le maire pendant cette réunion, énumérant les services essentiels qui avaient continué de fonctionner pendant la panne du réseau. Le directeur des finances de la ville, Henry Raymond, a déclaré que l'état actuel des systèmes n’était « pas idéal, mais gérable ». Il faisait notamment référence au fait que les services de messagerie électronique (e-mails) et les services téléphoniques ont été restaurés, de nombreux systèmes sont restés en ligne, mais les systèmes de traitement des paiements et autres outils utilisés pour traiter les transactions avec la ville demeurent en mode de contournement manuel.

Le directeur du Département des travaux publics, Rudy Chow, a averti les habitants de s’attendre à une facture d’eau plus importante que la normale à l’avenir, car les compteurs intelligents et le système de facturation de l’eau de la ville sont toujours hors ligne et aucune facture ne peut être générée.

Les tickets de stationnement et les tickets générés par les caméras de surveillance, notamment suite aux excès de vitesse ou après avoir grillé un feu rouge, peuvent être payés en personne si le ticket est sous forme papier. La ville a récupéré les données pour toutes les violations de stationnement et autres violations générées par les caméras de surveillance jusqu'au 4 mai, mais elle n'a toujours pas la possibilité de rechercher les violations sans ticket papier ou de traiter les paiements électroniquement, ont déclaré des responsables de la ville. Il en va de même pour de nombreuses autres interactions avec la ville, qui nécessitent actuellement l'envoi de documents papier par la poste ainsi que des solutions manuelles.

Les employés municipaux sont tenus de se présenter en personne pour recevoir les nouveaux identifiants de réseau et de courrier électronique, en présentant un identifiant de ville avant d’être autorisés à obtenir de nouveaux mots de passe. Avec plus de 10 000 employés municipaux devant suivre le processus et dispersés dans des bureaux situés aux quatre coins de la ville, Sheryl Goldstein, chef du personnel du maire, chargée des opérations, a déclaré que même s'il s'agissait d'un processus fastidieux, le Bureau de la technologie de l'information de la ville de Baltimore ( BCIT) travaillait jour et nuit pour y arriver. « La réauthentification des utilisateurs a été un gros effort depuis la semaine dernière », a-t-elle déclaré, ajoutant que la plupart des employés de la ville devraient voir leurs identifiants de connexion réinitialisés d'ici la fin de la semaine.

Le FBI a dissuadé la ville de payer la rançon et s’est dit prêt à participer financièrement au retour à la normale

En dépit de la facture croissante liée à la reprise, Goldstein a noté que la ville avait été découragée de payer la rançon par le Federal Bureau of Investigation. « Même si vous payez, vous devez toujours vous connecter à votre système et vous assurer qu'ils en sont sortis », a expliqué le FBI. « Vous ne pouvez pas simplement le restaurer et croire qu’ils n’y sont plus … nous allons assumer une grande partie de ces coûts, indépendamment des frais ».

Selon des responsables municipaux, le service informatique de Baltimore aurait déjà acheté plus de 1 million de dollars de nouveaux matériels à Dell dans le cadre d'un contrat existant. Et en utilisant un contrat de personnel provisoire, la ville a commencé à faire venir des travailleurs temporaires pour aider à la suppression des logiciels malveillants. Il n’est pas précisé si le coût de cette main-d'œuvre a été entièrement pris en compte dans les 10 millions de dollars que Raymond aurait dépensés pour le retour à la normale.

Certains de ces travailleurs temporaires constituant « l'équipe du retour à la normale » de la ville se sont présentés au travail lundi. Cet effort se poursuit parallèlement aux efforts de criminalistique du BCIT, du FBI et des consultants recrutés par la ville, dont beaucoup ont conclu des contrats d'urgence qui n'ont pas encore été rendus publics par le biais du service des achats de la ville et du Board of Estimates. Selon Goldstein, une analyse de cette ampleur peut prendre des mois, puis la ville va s’entendre avec le FBI et d'autres agences afin de déterminer ce qui peut être divulgué publiquement au sujet de l'attaque, étant donné qu'elle est liée à une enquête criminelle fédérale.

Des coûts qui peuvent être plus élevés

De plus, il n'a pas été question d'autres coûts cachés potentiels auxquels la ville pourrait être confrontée à la suite de la violation de données liée à l'attaque par ransomware. En effet, un compte Twitter connecté à l’opérateur de ransomware a publié des documents pris sur un serveur de fichiers de la ville de Baltimore comme preuve de compromission, y compris des documents provenant de poursuites en cours contre la ville. Ces documents comprenaient des données d'identification personnelles, des données sur la santé et d'autres informations sensibles. Ce coût pourrait en fin de compte être substantiel, bien que le coût puisse être supporté par les citoyens eux-mêmes, sous la forme de vol d'identité et d'autres fraudes.

Selon une étude du fournisseur de services de collaboration sécurisée Egnyte, le coût associé à une violation de données s'élève en moyenne à 148 $ par enregistrement perdu. Kris Lahiri, cofondateur et responsable de la sécurité de l'information chez Egnyte, explique que « Bien qu'il soit difficile de déterminer un coût exact sans connaître plus de détails sur leurs données, nous savons que Baltimore compte plus de 600 000 habitants. Par conséquent, si 25% de leurs archives étaient enfreintes, cela entraînerait un coût de 22 millions de dollars - bien au-dessus des 10 millions de dollars estimés ».

Quant à la question de savoir si les hackers se sont servis du logiciel de la NSA EternalBlue comme cela a été le cas de WannaCry, ils ont répondu « absolument pas ». Le compte a été supprimé par twitter 3 juin.

Source : FàQ sur le site de la ville, journal local, Egnyte

Voir aussi :

Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Symantec : le formjacking constitue la nouvelle forme d'attaque utilisée par les pirates pour s'enrichir encore plus vite qu'avec les ransomwares
Une entreprise prétend déverrouiller les fichiers de ses clients victimes de ransomwares mais paie la rançon, en se faisant une grosse marge
Un ransomware portant le nom de Barack Obama cible seulement les fichiers .EXE et verrouille même les fichiers de Windows

[marsupial]

Pourtant, les experts qui reconstruisent le SI ont détecté de nombreuse traces d'EternalBlue. source ARS Technica.
Ils ont un budget salarial IT de 220k$ et prévoyaient une migration sur cinq ans. Ils sont actuellement en XP-Vista et server correspondant. Bref, du legacy.
Baltimore est le siège de la NSA. C'est assez ironique et douloureux.

[NBoulfroy]

Au lieu de rechigner à payer ce qu'il pour éviter cela et limite les pertes pour le contribuable, ils feraient mieux de prendre du personnel spécialisé et rénover l'infrastructure ...