Les hackers et les transports en commun ne font pas bon ménage

Fin novembre, la société de transport en commun de San Francisco (San Francisco Municipal Transportation Agency ou SFMTA) a été victime d’un piratage digne d’un scénario de film d’action à l’américaine. La semaine dernière, les experts ont confirmé que l’attaque a été menée à l’aide du rançongiciel Mamba. Il n’a pas été précisé pourquoi Sophos Labs, qui a découvert le maliciel, a décidé de le baptiser en référence à l’espèce de serpent venimeux. Mamba chiffre les disques durs et les ressources partagées sur les machines infectées. 25 % du parc a été compromis, ce qui a provoqué une panne de ses distributeurs de billets.

Le samedi 26 novembre, les usagers ont pu voir affiché sur les écrans des terminaux le message suivant : « Vous avez été piratés, toutes les données ont été chiffrées ». La menace ainsi diffusée en masse demandait de contacter cryptom27@yandex.com afin d’obtenir la clé et déverrouiller les données.Selon le site officiel de la société de transport, une rançon de 73 000 dollars a été exigée pour stopper l’occupation des terminaux. La SFMTA a refusé de payer cette somme sachant que cela allait engendrer un blocage total de ses bornes sur le réseau tramway et métro. Dans une situation plus que délicate, l’agence s’est vue obligée de rendre les transports gratuits pendant tout le weekend de Thanksgiving.En s’opposant au chantage numérique, la ville californienne a perdu près de 550 000 dollars, sept fois plus que la rançon demandée. Certains d’entre vous se poseront la question : pourquoi la SFMTA n’a pas tout simplement payé la rançon ? Est-ce le refus de se plier à la cybercriminalité ? Ou tout simplement l’orgueil ?  Pour répondre à cette question, présentons d’abord plus en détails le contexte. Mamba et la chasse au cyber-serpentBien qu’il se propage de la même manière qu’un cheval de Troie, Mamba (appelé aussi HDDCryptor) ne se comporte pas comme un rançongiciel ordinaire. Ce dernier ne se contente pas de chiffrer les données personnelles des utilisateurs et va plus loin que l’infâme Petya, qui s’attaque au Master File Table[1]. En effet, le maliciel qui a mis à mal les profits de la SFMTA vise plutôt à diffuser son « venin » à tous les niveaux du secteur de disque, y compris le MFT, l’OS, les applications, les fichiers partagés, ainsi que les données personnelles. Prenons un peu de recul : lorsque vous cliquez sur un lien suspect où vous téléchargez une pièce jointe infectée, Windows va demander votre autorisation pour installer Mamba sur la machine.

La vraie perfidie de Mamba réside dans le fait que son code malveillant s’exécute en tâche de fond et s’installe en tant que service sur votre machine afin d’obtenir des privilèges d’administration. Il déclenche ensuite l’installation furtive de Netpass, un logiciel gratuit de récupération de mots de passe réseau, et DiskCryptor, un logiciel bas-niveau utilisé ensuite pour le chiffrement intégral du disque dur[2].Netpass.exe permet de scanner les dossiers partagés sur le réseau auxquels l’utilisateur a accédé afin d’y récupérer les identifiants de connexion. L’infection se poursuit avec DiskCryptor, chiffrant les fichiers appartenant à ce même utilisateur. Dccon.exe chiffre le contenu du disque dur lui même, alors que Mount.exe chiffre le contenu de tous les disques réseau accessible (via le réseau, ou physiquement).À la fin du chiffrement, Mamba réécrit tous les MBRs (Main Boot Records). Il modifie les secteurs d’amorçage de toutes les partitions du disque dur. Après le redémarrage de la machine, les effets de Mamba deviennent irréversibles. Vous auriez pu récupérer le mot de passe en accédant au log de DiskCryptor dans le fichier log_file.txt, si vous aviez été au courant qu’un chiffrement était en train d’avoir lieu. À ce point, vous n’avez aucun accès à la clé utilisée pour le chiffrement. À la place, un écran de boot classique s’affiche, en vous vous donnant le montant et les instructions afin de payer votre rançon.

Un serpent qui se mord la queueLe piratage de la SFMTA est passé et les transports de la ville californienne fonctionnent à nouveau. Agissant sous le nom de Andy Saolis, le hacker n’a pas touché un seul bitcoin et les données des usagers n’ont pas été compromises. La mairie de San Francisco a dû remplacer toutes les machines infectées, mais c’est un faible coût pour empêcher la propagation du venin de Mamba.De plus, le vent a tourné pour Andy. Quelques jours après l’attaque, le hacker responsable de l’opération s’est fait pirater à son tour par un chercheur en sécurité informatique. D’après le blog de Brian Krebs, l’expert, qui a préféré rester anonyme, affirme avoir infiltré l’adresse de récupération de la clé de chiffrement (« cryptom27@yandex.com »). Le chercheur bénévole a pu remonter dans l’historique des opérations du coupable et révéler que la première demande de rançon vers SFMTA a été envoyée le vendredi 25 novembre à M. Cunningham, responsable de l’infrastructure du réseau informatique de la société.L’investigation démontre également que le pirate ne ciblait pas seulement le transport municipal de San Francisco. D’après le constat effectué par la source de M. Krebs, Andy Saolis n’en était pas à son coup d’essai. Ses victimes habituelles étaient plutôt des PME ou des ETI américaines, ce qui lui a permis jusqu’à présent de ne pas trop attirer l’attention des autorités ou des white hats.Ce qui est cocasse dans cette affaire est que l’auteur de Mamba propose quasiment à chaque victime son expertise afin de sécuriser leur réseau (en échange d’une rançon plus significative). Les entreprises prêtes à payer le prix s’apercevront bien vite qu’il s’agit d’un escroc. D’une part, cette

Cette fois-ci, notre histoire se termine avec une happy end, mais les conséquences pourraient être néfastes la prochaine fois. La morsure de Mamba peut impacter n’importe quelle infrastructure critique d’une ville et pas uniquement les réseaux de transport. Selon un rapport de l’ICIT (l’Institut de Technologies des Infrastructures Critiques), les rançongiciels ont déjà déclaré la guerre aux opérateurs d’importance vitale. En effet, des antécédents existent. La SFMTA rejoint à peine la liste inquiétante des OIV (les établissements en santé, les réseaux de distribution – énergie, électricité, eau – et les fournisseurs de services numériques) qui ont déjà été victimes d’un rançongiciel, que ce soit Mamba, Petya, Locky etc.Plutôt que de croire en la promesse d’un serpent ou d’appliquer une politique de réponse rigide, l’ICIT conseille une approche personnalisée, adaptée en fonction des besoins et des particularités de chaque infrastructure. Toutefois, les solutions potentielles doivent se baser sur 2 axes principaux : la prévention et la réaction. Comment éviter d’être mordu par Mamba ? Nous l’avons déjà répété à plusieurs reprises : la réponse réside dans la formation et la sensibilisation du personnel.Néanmoins, il faut toujours partir du principe que cet axe d’action va échouer à un moment donné, d’où le besoin d’avoir en place les outils capables de détecter les présences malveillantes et de stopper l’infection avant qu’elle ne compromette tout le parc informatique. Il est préférable de rester « cyber-pessimiste » et de toujours avoir un back-up de ses données. Vous assurez ensuite l’axe de réaction, en rétablissant les services de votre entreprise le plus vite possible. Que ce soit la SFMTA ou le Hollywood Presbyterian Hospital, le but est de ne pas laisser les black hats perturber votre activité. [1]  Master File Table (MFT, table de fichiers principale) est l’un des composants du système de fichiers de NTFS de Microsoft. Source : Wiki[2]  Ne pas confondre DiskCryptor avec TrueCrypt, le même type d’outil utilisé par le groupe de hackers surnommé Strong Pity (lire notre article ici).

Liens :https://www.reveelium.com/fr/hackers-and-public-transportation/

https://www.itrust.fr/hack-San-Francisco