Baltimore toujours sous le choc de l'attaque de Ransomware

La ville de Baltimore est toujours aux prises avec les conséquences de attaque de ransomware qui a eu lieu le 7 mai. La police, les services incendie et les services urgence ont pas été affectés par le programme malveillant, mais presque tous les autres services ont été interrompus ou mis hors ligne pour éviter autres dommages. . La restauration des réseaux affectés s’est révélée être une tâche difficile. Deux mois après la rupture, de nombreux systèmes n’étaient toujours pas disponibles. En fait, le nouveau maire de Baltimore, Bernard "Jack" Young, a déclaré le 17 mai qu il pourrait prendre des semaines pour une restauration partielle des fonctions en ligne de la ville et des mois pour certains des systèmes les plus complexes. La déclaration a également révélé que des experts en cybersécurité avaient été engagés et collaboraient avec les responsables de la ville.

Entre-temps, les habitants et les travailleurs municipaux s’efforcent de trouver des solutions de contournement, tandis que les factures d’eau et autres taxes municipales telles que les contraventions de stationnement ne peuvent pas être traitées en ligne. Tous les achats immobiliers ont également été mis en attente à cause des problèmes de réseau. Les frais de facturation eau en retard pour les clients de la ville et du comté ont ensuite été suspendus, tandis qu une solution de contournement manuelle pour les transactions immobilières a été mise en place le 20 mai.

Ce est pas la première fois que Baltimore est victime une attaque de ransomware. En 2018, le système 911 de la ville a été arrêté après que des assaillants aient exploité une modification du pare-feu provoquée par la maintenance du réseau de communication.

Les fichiers ont été cryptés avec RobbinHood Ransomware

Frank Johnson, dirigeant principal de information à Baltimore, a confirmé que les perturbations des systèmes avaient été causées par une nouvelle variante du RobbinHood Ransomware . Peu de détails étaient disponibles sur le fonctionnement de ce ransomware avant que le chercheur en sécurité, Vitaly Kremez, ait réussi à effectuer ingénierie inverse un échantillon RobbingHood . Selon ses découvertes, le ransomware a pas la capacité de se répandre à travers les réseaux infiltrés. Au contraire, RobbinHood déconnecte tous les partages réseau du système informatique à l’aide de la commande " cmd.exe / c net use * / DELETE / Y ", ce qui a amené Kremez à conclure que le logiciel ransomware était poussé individuellement vers un contrôleur de domaine ou un framework tel que PsExec.

En outre, lorsque RobbinHood Ransomware est lancé, il tente de fermer 181 processus Windows susceptibles empêcher le cryptage des types de fichiers ciblés. Il agit notamment de bases de données, serveurs de messagerie, programmes antivirus, agents de sauvegarde et autres logiciels susceptibles de perturber le fonctionnement du logiciel malveillant. Au cours du processus de cryptage, plusieurs fichiers différents contenant une note de rançon sont déposés sur la machine. Les criminels exigent le paiement de 3 Bitcoins pour chaque ordinateur infecté ou de 13 Bitcoins, d’une valeur d’environ 100 000 dollars, pour le déchiffrement de chaque système affecté. Les responsables de Baltimore ont déclaré qu ils ne verseront aucun paiement aux criminels.