Les retombées d'une cyberattaque sur les ordinateurs d'Atlanta ne sont toujours pas claires (Mise à jour)

Plus de 24 heures après la découverte d'une cyberattaque de ransomware ciblant le réseau informatique de la ville d'Atlanta, les retombées n'étaient toujours pas claires.

Les responsables de la ville d'Atlanta ont annoncé jeudi après-midi que l'équipe de sécurité de l'information de la ville avait remarqué "quelque chose d'étrange" sur le serveur vers 5h40 du matin ce jour-là et a commencé une enquête. Certaines données de la ville ont été cryptées, essentiellement détenu contre rançon par les assaillants.

L'attaque a provoqué une panne de certaines applications internes et destinées aux clients, y compris ceux utilisés pour payer les factures et accéder aux informations judiciaires, Le directeur de l'exploitation de la ville, Richard Cox, a déclaré aux journalistes lors d'une conférence de presse jeudi. Mais cela n'a pas affecté le département de la sécurité publique, service de l'eau ou l'aéroport international Hartsfield-Jackson d'Atlanta, il a dit.

L'aéroport a fermé son réseau Wi-Fi et les systèmes qui fournissent des informations sur les vols et les temps d'attente aux points de contrôle de sécurité sur son site Web "par excès de prudence, " Le porte-parole Reese McCranie a déclaré vendredi lors d'un entretien téléphonique.

"Nous ne voulons pas ouvrir l'aéroport à une éventuelle cyberattaque, " il a dit, ajoutant que le personnel technologique de l'aéroport s'efforçait de renforcer son infrastructure pour s'assurer qu'elle n'est pas vulnérable.

Un porte-parole de la ville a déclaré vendredi qu'aucune nouvelle information n'était disponible.

Il n'était pas immédiatement clair si des informations personnelles avaient été compromises, mais le maire Keisha Lance Bottoms a exhorté les employés de la ville, résidents et autres personnes dont les données peuvent être dans le système de la ville pour surveiller leurs comptes bancaires et prendre des mesures proactives pour protéger leurs données personnelles.

La ville travaille avec les agences fédérales, y compris le FBI et le Department of Homeland Security, ainsi que des partenaires du secteur privé, pour régler le problème, dit Bottoms.

Marc Ray, un ancien enquêteur du FBI en matière de cybersécurité qui est maintenant directeur général et responsable des enquêtes numériques pour Nardello &Co., a déclaré que les principaux objectifs de l'agence sont d'arrêter une attaque et de découvrir qui est responsable.

La première étape de l'agence serait de donner des conseils pratiques tels que l'isolement des systèmes concernés, préserver et protéger les systèmes non affectés en les mettant hors ligne, ainsi que de s'assurer que les sauvegardes sont préservées et sécurisées. Prochain, le FBI voudrait obtenir un échantillon du ransomware car il peut déjà avoir des informations sur ce malware particulier qui pourraient aider à l'arrêter ou il peut avoir une clé de déchiffrement d'une attaque précédente.

Lorsqu'on lui a demandé jeudi si la ville paierait la rançon demandée, le maire a déclaré que la ville demanderait conseil aux autorités fédérales sur la meilleure ligne de conduite.

Le FBI ne préconisera jamais de payer une rançon, dit Ray. Il y a plusieurs raisons à cela, y compris :il n'y a aucune garantie que le propriétaire du ransomware fournira réellement le décryptage après avoir été payé, la volonté de payer d'une organisation peut en faire une cible pour de futures attaques, et parfois, le paiement entraîne le déverrouillage d'une partie d'un système, mais il faut alors plus d'argent pour déverrouiller une plus grande partie du système.

Mais si une organisation choisit de ne pas payer de rançon et s'il n'y a pas de clé de déchiffrement facilement disponible, "l'alternative est, au sens propre, pour tailler et brûler les environnements qui ont été infectés, " a déclaré Ray. "C'est là que de bonnes sauvegardes sont essentielles."

Les ransomwares exploitent les vulnérabilités logicielles connues, et souvent les organisations qui sont victimes de telles attaques n'ont pas fait un travail approfondi de correctifs systèmes régulièrement, il a dit.

Les municipalités ont souvent du mal avec les mises à jour logicielles de base et les correctifs car elles manquent souvent de ressources, dit Ryan Kalember, Vice-président senior de la stratégie de cybersécurité de la société de sécurité Proofpoint.

L'attaque d'Atlanta porte la marque du ransomware SamSam, et ce que l'équipe de sécurité de l'information de la ville a probablement vu était quelque chose essayant de se connecter de l'extérieur de l'organisation, il a dit.

Contrairement à la plupart des ransomwares, qui accède à un réseau lorsque quelqu'un clique sur un lien dans un e-mail de phishing, SamSam recherche aveuglément sur Internet les serveurs vulnérables, dit Kalember. Une fois qu'il a trouvé un point d'ancrage, souvent en exploitant un mot de passe faible ou qui n'est pas souvent modifié, il pénètre dans un système et commence à se répandre.

Si c'est SamSam, il peut y avoir une bonne nouvelle car il crypte généralement les informations en place et demande une rançon pour y rétablir l'accès plutôt que de voler les informations, dit Kalember.

"C'est un signal d'alarme et ce n'est finalement pas si dommageable donc il y a une lueur d'espoir pour les municipalités" car cela pourrait motiver la ville à mettre des ressources et une volonté politique au service de la sécurisation de ses réseaux, il a dit.

Apple est sur le point de devenir le plus gros investisseur en R&D au monde

Réutiliser des pylônes électriques pour concevoir le toit d'une gare

Électronique