Brian Hawkins ne fera plus partie de l’équipe en charge de la gestion des systèmes d’information de la ville parce que tenu pour responsable de la cyberattaque qui a paralysé serveurs, réseaux de courrier électronique et lignes téléphoniques. ; c’est ce qu’a transmis Joe Helfenberg à la presse. En sus, le nouveau directeur des systèmes d’information envisage une réorganisation de l’ensemble du service afin d’éviter qu’un incident similaire ne se produise à l’avenir. Ceci implique que d’autres responsables de l’ancienne équipe pourraient gagner le dehors. D’après les estimations des responsables de la ville, les opérations de récupération des fichiers chiffrés par les pirates (qui ont fournis la clé de déchiffrement) devraient arriver à leur terme dans deux semaines. Helfenberg est attendu dans une sortie programmée en début de semaine prochaine pour informer l’opinion sur l’avancée de la manœuvre.
Les responsables de Lake City ont décrit l'incident comme une imbrication de trois menaces informatiques. En effet, les rapports initiaux font état de ce qu'un employé de la ville a téléchargé un document reçu par voie de courriel. Cela a déclenché une chaîne d'événements mettant en scène trois variantes distinctes de logiciels malveillants. Le document contenait le cheval de Troie Emotet ; ce dernier s'est installé tout seul et a ensuite téléchargé un autre cheval de Troie appelé TrickBot qui a, à son tour, enclenché l’installation du rançongiciel Ryuk. Celui-ci s'est ensuite répandu dans tous les systèmes de la ville, les a verrouillé et affiché les fenêtres de demande de rançon. Selon le New York Times, seuls les systèmes de police et de pompiers ont été épargnés car ils étaient sur un serveur différent. D’après la publication du quotidien américain, les autorités municipales ont décidé à contrecœur qu'il serait moins cher et plus efficace de simplement payer les pirates après plusieurs jours de travail avec le FBI et des consultants en sécurité pour résoudre le problème. Selon des chiffres de la firme de sécurité Emsisoft, les experts parviennent à déchiffrer les contenus mis sous verrou par ce ransomware dans 3 à 5 % des cas.
D’un point de vue technique, la réussite d’une telle attaque repose sur la présence d’un certain nombre de failles. Une liste non exhaustive inclut : l’absence de filtres anti-rançongiciels sur les serveurs de courriels, le manque d’éducation des employés quant à la gestion des fichiers transmis par voie de courriel, l’absence de copies de sauvegarde, etc. Il est plus qu’évident qu’au moins une de ces barrières n’était pas au rendez-vous, ce qui engage la responsabilité du département en charge de la gestion des systèmes d’information en premier. Sur décision des autorités de la municipalité, Brian Hawkins écope donc, ce, même s’il faut préciser à nouveau que c’est un employé tiers qui a ouvert le fichier attaché à un courriel.
Ce qu’il faut dire c’est que les attaques au rançongiciel Ryuk ont le vent en poupe comme le rapportent de nombreuses agences en charge de la cybersécurité. À date, la municipalité de Kay Biscane en Floride a elle aussi ses systèmes bloqués par ce rançongiciel. L’on rapporte toutefois que les autorités n’ont pas encore pris de décision quant au paiement ou non de la rançon.
Les rapports d'attaques par rançongiçiel contre les systèmes municipaux sont devenus monnaie-courante dans les médias. Aux USA, les estimations de tels incidents se comptent par centaines. Début juin, les autorités de Baltimore ont évalué à 18 millions de dollars le coût pour le retour à la normale après une attaque à l'aide du logiciel de rançon RobbinHood qui a touché environ 10 000 ordinateurs. Elles ont refusé de payer la rançon fixée à 100 000 $ par les pirates. En Géorgie, des fonctionnaires du Conseil judiciaire et du Bureau administratif des tribunaux ont confirmé que leurs systèmes avaient été contaminés par des rançongiciels. Les retours initiaux pointent une attaque au ransomware Ryuk.
Sources : wcjb, New York Times
Et vous ?
Qu’en pensez-vous ?
Brian Hawkins mérite-t-il sa sanction ? Est-il le seul qui mérite d’écoper d’un licenciement ?
Êtes-vous en accord avec la perspective d’être renvoyé si vous êtes la cause d’un incident similaire dans votre entreprise ?
Pensez-vous qu’une entreprise puisse être parée à 100 % contre des attaques de ce type ?
Voir aussi :
PyLocky Decryptor : un outil de récupération de fichiers chiffrés par le rançongiciel du même nom, publié par les autorités françaises
Les entreprises qui promettaient des solutions contre les rançongiciels payaient presque toujours les pirates informatiques
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Une entreprise prétend déverrouiller les fichiers de ses clients victimes de ransomwares mais paie la rançon, en se faisant une grosse marge