Comment des pirates informatiques ont extorqué 1,14 million de dollars à l’Université de Californie, San Francisco

Publié par SENTV Le 05/07/2020 à 20 h 22 min

Le 1er juin, le gang criminel Netwalker a attaqué l’Université de Californie à San Francisco (UCSF).

Le personnel informatique a débranché les ordinateurs pour tenter d’arrêter la propagation des logiciels malveillants.

Et un informateur resté anonyme a permis à BBC News de suivre les négociations de rançon dans un chat en direct sur le ‘dark web’.

Selon les experts en cybersécurité, ce type de négociations se déroule actuellement dans le monde entier – parfois pour des sommes encore plus importantes – contre l’avis des services de maintien de l’ordre, notamment le FBI, Europol et le Centre national de cybersécurité du Royaume-Uni.

À lui seul, Netwalker a été lié à au moins deux autres attaques de type « rançon » contre des universités au cours des deux derniers mois.

À première vue, sa page d’accueil sur le ‘dark web’ ressemble à un site de service clientèle standard, avec un onglet de foire aux questions (FAQ), une offre d’un échantillon « gratuit » de son logiciel et une option de chat en direct.

Mais il y a aussi un compte à rebours qui indique le moment où les pirates doublent le prix de leur rançon ou effacent les données qu’ils ont brouillées avec des logiciels malveillants.

L’UCSF a reçu le message suivant, posté le 5 juin, lui demandant de se connecter, soit par courrier électronique, soit en laissant une demande de rançon sur les écrans des ordinateurs piratés.

Six heures plus tard, l’université a demandé plus de temps et que les détails du piratage soient retirés du blog public de Netwalker.

Netwalker a utilisé un site sur le dark web pour les négociations avec les victimes.

Constatant que l’UCSF gagnait des milliards par an, les pirates ont alors demandé 3 millions de dollars.

Mais le représentant de l’UCSF, qui est peut-être un négociateur spécialisé externe, a expliqué que la pandémie de coronavirus avait été « financièrement dévastatrice » pour l’université et l’a suppliée d’accepter 780 000 dollars.

Après une journée de négociations, l’UCSF a déclaré qu’elle avait réuni tout l’argent disponible et pouvait payer 1,02 million de dollars – mais les criminels ont refusé de descendre en dessous de 1,5 million de dollars.

Quelques heures plus tard, l’université est revenue avec des détails sur la manière dont elle avait obtenu plus d’argent et une offre finale de 1 140 895 dollars.

Et le lendemain, 116,4 bitcoins ont été transférés dans les portefeuilles électroniques de Netwalker et le logiciel de décryptage envoyé à l’UCSF.

L’UCSF assiste désormais le FBI dans ses enquêtes, tout en s’efforçant de restaurer tous les systèmes concernés.

Elle a déclaré à BBC News : « Les données qui ont été cryptées sont importantes pour certains des travaux universitaires que nous menons en tant qu’université au service du bien public. Nous avons donc pris la décision difficile de payer une partie de la rançon, environ 1,14 million de dollars, aux individus derrière l’attaque de logiciels malveillants en échange d’un outil permettant de déverrouiller les données cryptées et de la restitution des données qu’ils ont obtenues. »

Mais Jan Op Gen Oorth, d’Europol, qui dirige un projet appelé No More Ransom, a déclaré : « Les victimes ne devraient pas payer la rançon, car cela finance les criminels et les encourage à poursuivre leurs activités illégales. Elles devraient plutôt le signaler à la police afin que les forces de l’ordre puissent perturber l’entreprise criminelle ».

Les hackers et l'université ont négocié lors d'un chat en direct sur le dark web.

Brett Callow, un analyste des menaces de la société de cybersécurité Emsisoft, a déclaré : « Les organisations dans cette situation ne peuvent pas faire le bon choix.Même si elles paient la demande, elles recevront simplement une promesse que les données volées seront effacées. Mais pourquoi une entreprise criminelle impitoyable supprimerait-elle des données qu’elle pourrait monnayer plus tard ? »

La plupart des attaques de logiciels contre rançon commencent par un courriel piégé et les recherches suggèrent que les gangs criminels utilisent de plus en plus des outils qui peuvent accéder aux systèmes par un simple téléchargement. Rien que la première semaine de ce mois, les analystes en cybersécurité de Proofpoint ont déclaré avoir vu plus d’un million d’e-mails contenant des hameçons de phishing, y compris de faux résultats de tests Covid-19, envoyés à des organisations aux États-Unis, en France, en Allemagne, en Grèce et en Italie.

Les organisations sont encouragées à sauvegarder régulièrement leurs données hors ligne.

Mais Ryan Kalember, de Proofpoint, a déclaré « Les universités peuvent être des environnements difficiles à sécuriser pour les administrateurs informatiques. La population étudiante en constante évolution, associée à une culture d’ouverture et de partage des informations, peut entrer en conflit avec les règles et les contrôles souvent nécessaires pour protéger efficacement les utilisateurs et les systèmes contre les attaques ».