Cette université californienne paye 1,14 million de dollars aux pirates informatiques pour récupérer ses données

. Des logiciels malveillants ont été découverts dans les systèmes informatiques de l’école de médecine de l’UCSF. Les administrateurs ont rapidement tenté d’isoler l’infection et de protéger un certain nombre de systèmes, ce qui a empêché le rançongiciel de se propager au cœur de réseau de l’UCSF et de causer d’autres dommages.

Bien que l’école affirme que la cyberattaque n’a pas affecté “nos prestations de soins aux patients, le réseau global du campus ou le travail sur la COVID-19”, les serveurs de l’UCSF utilisés par l’école de médecine ont été chiffrés.

Ce type de demande de rançon peut-être particulièrement destructeurs car une fois qu’un système est compromis, le contenu est chiffré et rendu inaccessible. Les victimes sont alors confrontées à un choix : perdre potentiellement leurs fichiers, ou payer une demande de rançon. Les cyber-attaquants fixent souvent un délai avant d’augmenter la pression en demandant des paiements supplémentaires.

publicité

“Nous ne pensons pas pour l’instant que les dossiers médicaux des patients aient été exposés”

Et comme le montre ce cas, les demandes de chantage peuvent atteindre des millions de dollars. “Les agresseurs ont montré certaines données comme preuve de leur action, et les ont utilisé dans leur demande de paiement d’une rançon”, a déclaré l’université dans un communiqué. “Nous poursuivons notre enquête, mais nous ne pensons pas pour l’instant que les dossiers médicaux des patients aient été exposés.”

Il n’est pas recommandé aux victimes de céder aux demandes de rançon, car cela favorise les entreprises criminelles. Cependant, l’UCSF a déclaré avoir pris “la décision difficile de payer une partie de la rançon” car certaines des informations stockées sur les serveurs sont “importantes pour certains travaux universitaires que nous menons”.

Le gang de pirate Netwalker serait responsable de l’opération. La BBC a pu suivre la négociation, faite sur le darknet, entre Netwalker et l’université. Les auteurs de la demande de rançon ont d’abord demandé 3 millions de dollars, ce à quoi l’UCSF a répondu par une offre de 780 000 dollars, en plaidant que la nouvelle pandémie de coronavirus avait été “financièrement dévastatrice” pour l’institution universitaire.

Au premier trimestre 2020, le montant moyen de la rançon pour les entreprises est passé à 111 605 dollars, soit une hausse de 33 %

Cette offre a cependant été rejetée, et un va-et-vient a finalement abouti au chiffre convenu de 1 140 895 dollars. Un versement fait en Bitcoin (BTC). En échange du paiement, les auteurs du ransomware ont fourni un outil de déchiffrement et ont déclaré qu’ils supprimeraient les données volées sur les serveurs.

Selon un récent rapport de Coveware, au cours du premier trimestre 2020, les pirates ont profité des perturbations économiques et professionnelles causées par l’épidémie de COVID-19. Les configurations de réseau d’entreprise en mode “travail à domicile” a conduit à une augmentation de rançongiciels.

Surtout, au premier trimestre 2020, le montant moyen de la rançon pour les entreprises est passé à 111 605 dollars, soit une hausse de 33 % par rapport au quatrième trimestre 2019. Les paiements de rançon pour les grandes entreprises sont minoritaires en volume (sur le total de l’argent collecté, toutes opération confondues, mais la taille des paiements a considérablement augmenté le paiement moyen de la rançon. Le montant médian de la rançon est resté relativement stable à 44 021 dollars. 

Netwalker cible des systèmes par le biais de vulnérabilités connues et publiques ou par des attaques de force brute

Selon SophosLabs, la boîte à outils de Netwalker est très complète et comprend les ransomware Netwalker, Zeppelin et Smaug, des outils de reconnaissance Windows et des logiciels d’attaque par force brute.

Les chercheurs affirment que ce groupe a tendance à se concentrer sur les grandes organisations plutôt que sur des cibles individuelles. Lors d’attaques passées, Netwalker a ciblé des systèmes par le biais de vulnérabilités connues et publiques ou par des attaques de force brute sur des machines dont les services de bureau à distance étaient activés.

L’UCSF a fait appel à des consultants en cybersécurité pour enquêter sur l’incident et travaille actuellement avec le FBI. Au moment où nous écrivons ces lignes, les serveurs sont toujours hors service. “Nous continuons à coopérer avec les forces de l’ordre, et nous apprécions que chacun comprenne que nous sommes limités dans ce que nous pouvons partager pendant que nous poursuivons notre enquête”, a ajouté l’université.

Leave a Reply

Your email address will not be published. Required fields are marked *