Attaque par ransomware de Baltimore
L’attaque par ransomware qui a ciblé Baltimore en 2019 a fortement impacté les entreprises, services administratifs et services publics de la ville. Le coût de réparation des dommages causés par l’attaque se sont élevés à 18 millions de dollars. Nous allons examiner comment cette attaque s’est produite, ses conséquences et les enseignements que les entreprises peuvent en tirer pour se protéger contre les ransomwares.
Protégez votre entreprise contre les ransomwares avec Avast Business Antivirus pour serveurs
Quand a eu lieu l’attaque de Baltimore ?
L’attaque par ransomware de Baltimore a eu lieu le 7 mai 2019, alors que la ville traversait déjà une période particulièrement agitée. Quelques jours plus tôt, le 2 mai pour être précis, Catherine Pugh, la maire de Baltimore, avait en effet quitté ses fonctions à la suite d’accusations de malversations financières (elle fut incarcérée par la suite). Elle fut remplacée le 9 mai par Bernard C. Young à la tête de la ville. Les pirates attaquèrent l’infrastructure numérique de Baltimore au moment où la cybersécurité avait été reléguée au second plan. L’attaque a duré plus de deux semaines.
La violation de données dont a été victime Baltimore en 2019 était la deuxième attaque de ce type ciblant la ville. En effet, en mars 2018, une attaque par ransomware avait déjà désactivé les systèmes d’urgence de la ville pendant plus de 12 heures. Le 25 novembre 2020, une troisième attaque par ransomware cibla les écoles publiques du comté de Baltimore, affectant plus de 170 établissements scolaires, de nombreux systèmes éducatifs et jusqu’à 115 000 étudiants.
Comment s’est déroulée l’attaque par ransomware de Baltimore ?
Le 7 mai 2019, le service des travaux publics de Baltimore envoya un tweet annonçant que ses services de messagerie n’étaient pas disponibles. La panne s’étendit ensuite à ses lignes téléphoniques. Par effet domino, pas moins de 10 000 systèmes municipaux furent alors impactés, y compris le service des systèmes de transport.
C’est une tentative de cyberattaque sur les lignes téléphoniques d’urgence, semblable à celle qui avait touché la ville en 2018, qui éveilla les soupçons. Les responsables municipaux, en collaboration avec le FBI, purent alors déterminer que la ville était victime d’une attaque par le ransomware RobbinHood.
Les pirates utilisèrent RobbinHood pour interdire aux fonctionnaires tout accès aux systèmes d’exploitation, prenant ainsi en otage toutes les données, et rendant inaccessibles les systèmes et applications. Deux jours après l’attaque initiale, les pirates adressèrent au nouveau maire une demande de rançon de trois bitcoins par système verrouillé ou 13 bitcoins (environ 76 000 dollars) pour récupérer l’accès à l’ensemble des systèmes. En l’absence de paiement, la rançon augmenterait de 10 000 dollars par jour à compter du 11 mai et, au final, toutes les données compromises seraient définitivement effacées.
Qu’est-ce que RobbinHood ?
RobbinHood est un type de ransomware élaboré qui reproduit des méthodes plus sophistiquées employées dans des ransomwares tels que Ryuk, Locky et Petya en exploitant des protocoles RDP (Remote Desktop Protocol) piratés. Cela permet aux pirates de couper la connexion entre le matériel et le réseau, d’éliminer vos défenses de cybersécurité (ainsi que les éventuels logiciels de récupération), et d’interdire l’accès à l’ensemble des fichiers et dossiers au moyen du chiffrement. Dès lors, toute récupération des données confidentielles devient impossible si une rançon n’est pas versée en échange d’une clé de déchiffrement.
Comment la ville de Baltimore a-t-elle réagi à cette attaque ?
Lorsque le maire Bernard C. Young fut informé de l’attaque, il publia un communiqué officiel indiquant qu’un grand nombre de services municipaux avaient été remplacés temporairement par des processus manuels et que de nombreux services administratifs étaient indisponibles, comme le système de paiement par carte de la ville permettant aux citoyens de payer leurs taxes foncières et les frais de stationnement. Il déclara également que la ville collaborait avec le FBI et des experts en technologie, tels que Microsoft, pour remettre tous les systèmes en service. Il ajouta qu’un retour à la normale pourrait prendre plusieurs semaines, voire des mois, étant donné que plusieurs systèmes devaient être reconstruits.
Pendant deux semaines, les employés de la ville furent dans l’incapacité d’accéder à leur système de messagerie. Ils créèrent donc des comptes Gmail pour contrer les effets de l’attaque et permettre aux citoyens de payer les services essentiels, comme les factures d’approvisionnement en eau. Malheureusement, cette création massive de comptes alerta les systèmes antispam de Google, ce qui entraîna le blocage des comptes… Informé de la situation, Google a toutefois débloqué l’accès à ces comptes par la suite.
L’idée selon laquelle la NSA (National Security Agency) était responsable de l’attaque par ransomware était largement répandue, étant donné que les pirates étaient censés avoir utilisé l’outil d’exploit EternalBlue (créé généralement par cette agence gouvernementale) pour pénétrer les systèmes Windows. Volé et diffusé en avril 2017 par le groupe The Shadow Brokers, EternalBlue est devenu un outil très prisé dans les ransomwares et il fut considéré par la suite comme le point d’accès de l’attaque.
Rob Joyce, conseiller principal auprès du directeur de la stratégie de cybersécurité de la NSA (National Security Agency), répondit que le problème était dû à un « manque de vision à long terme » concernant EternalBlue. En effet, Microsoft avait envoyé des correctifs pour contrer EternalBlue, et la ville de Baltimore avait eu plus de deux ans pour y remédier et corriger d’autres faiblesses de son infrastructure informatique. En examinant l’attaque de plus près, l’analyste de malwares Joe Stewart en arriva à la conclusion qu’il n’y avait effectivement aucune trace de l’exploit EternalBlue dans le code du ransomware, mais qu’il a pu contribuer à propager le malware.
Le comté de Baltimore a-t-il payé la rançon ?
Le comté de Baltimore n’a pas payé la rançon, malgré les pressions croissantes de la part des pirates, comme la divulgation de données sensibles concernant les employés de la ville et la menace de révéler d’autres informations. À la mi-juin, la plupart des systèmes d’exploitation de la ville étaient de nouveau opérationnels. Pour d’autres, comme ceux liés à la délivrance électronique de permis, à l’immobilier et aux comptes des employés, tout était rentré dans l’ordre à la fin de ce mois.
En réponse aux critiques du public et aux appels pour le paiement de la rançon, le maire de Baltimore publia une vidéo sur Twitter dans laquelle il déclara ce qui suit :
« Je tiens tout d’abord à vous dire que le Secret Service et le FBI nous ont conseillé de ne pas payer la rançon. De plus, cela irait à l’encontre de notre philosophie, à savoir : ne pas récompenser les auteurs d’un acte criminel. Même si nous payons la rançon, rien ne nous garantit que les pirates puissent ou veuillent déverrouiller notre système. »
« Il n’y a aucun moyen de suivre le paiement ni même de pouvoir confirmer l’identité des personnes auxquelles nous versons la rançon. Compte tenu de la méthode de paiement demandée, rien ne nous permet de savoir s’ils ne vont pas laisser d’autres malwares sur notre système en vue d’exiger une nouvelle rançon à l’avenir. Au final, nous devrions à nouveau effectuer toutes les étapes que nous avons suivies pour garantir la sécurité de notre environnement. Je suis sûr que nous avons fait le bon choix. »
Sheryl Goldstein, chef de cabinet adjointe aux opérations du maire, a fourni d’autres détails :
« Les enquêteurs fédéraux nous ont conseillé de ne pas payer la rançon. Les données montrent qu’il y a moins d’une chance sur deux de récupérer vos données si vous la payez. Et même si vous payez, vous n’avez aucune garantie que la menace a été éradiquée. Vous ne pouvez pas simplement remettre le système en service et vous dire que tout est fini. »
Quelles ont été les conséquences de l’attaque par ransomware de Baltimore ?
L’attaque par ransomware dont la ville Baltimore a été victime en 2019 a duré près d’un mois. Le rétablissement des services, ce qui inclut l’application de correctifs, l’achat de nouveaux matériels et la perte de revenu ou les revenus reportés, a coûté quelque 18,2 millions de dollars. Dans ce laps de temps, 35 % des plus de 10 000 employés municipaux ont pu récupérer l’accès à leurs comptes. Pour 95 % d’entre eux, l’accès a pu être rétabli au cours des mois suivants.
À l’instar de l’attaque par ransomware d’Atlanta de 2018, l’attaque qui a ciblé la ville de Baltimore a impacté les services administratifs, les services publics et les services de stationnement qui durent tous être remplacés par des processus manuels.
Contrairement à l’attaque contre le système de santé du Royaume-Uni (NHS), qui a grandement affecté les services essentiels, les services d’urgence de la ville de Baltimore n’ont pas été directement impactés par l’attaque RobbinHood et sont restés opérationnels. Le marché immobilier de la ville de Baltimore fut, en revanche, durement touché et les employés furent dans l’incapacité de conclure la moindre vente avant la fin du mois de juin.
Cette deuxième attaque par ransomware en l’espace de 15 mois valut de nombreuses critiques à la ville de Baltimore qui avait cependant pris des mesures préventives pour éviter une autre attaque. Parmi ces mesures figurait la constitution d’un nouveau comité de cybersécurité, dirigé par Brandon Scott, président du conseil municipal. Le comité entama un examen approfondi des vulnérabilités de la ville et étudia la réponse à l’attaque afin de mettre sur pied de nouvelles règles, pratiques et technologies dans le but de développer une infrastructure informatique robuste.
Attaque contre Baltimore County Public Schools de 2020
Le 24 novembre 2020, soit deux jours avant Thanksgiving, Baltimore County Public Schools fut la victime d’une troisième attaque ciblant la ville de Baltimore. Malgré les deux précédentes attaques de grande envergure qui avaient frappé la ville, les mesures mises en place pour protéger les grandes quantités de données sensibles se sont avérées insuffisantes. L’ensemble des données confidentielles et les systèmes scolaires associés furent chiffrés, ce qui impacta « tous les aspects du système de Baltimore County Public Schools. »
Malgré les sauvegardes des données existantes, on estime que les coûts de récupération ont dépassé les 8 millions de dollars. Plus de 9 000 ordinateurs portables appartenant au personnel ont dû été réinitialisés (effacement des disques durs et installation de nouveaux systèmes d’exploitation) à la suite de l’attaque, sans compter les appareils des étudiants. Certains plans de cours ou données ont été définitivement perdus, et le réseau scolaire a dû être complètement reconstruit.
Cet événement a considérablement perturbé l’infrastructure d’apprentissage à distance sur laquelle comptaient quelque 115 000 élèves en cette période de pandémie de COVID-19. La transition à long terme vers un environnement de travail en distanciel et hybride a entraîné une augmentation du nombre de terminaux et, partant, une hausse des risques en matière de cybersécurité.
Bien que le paiement d’une rançon n’ait pas été confirmé ni infirmé, Baltimore County Public Schools a pris quelques engagements :
- Reconstruire et renforcer son infrastructure informatique
- Introduire de nouveaux processus, comme l’authentification multi-facteurs (MFA) pour l’ensemble de son personnel
- Installer des pare-feu de nouvelle génération et des protections d’appareils améliorées
Cependant, en 2021, Cindy Sexton, la présidente de l’association des professeurs du comté de Baltimore, constatait que pour certains systèmes, dont les systèmes de paye automatisés, la situation n’était toujours pas revenue à la normale. De nombreux membres du personnel percevaient trop ou pas assez, voire n’étaient pas payés dans les temps.
Quels enseignements peut-on tirer des attaques par ransomware de Baltimore ?
Bien que la somme réclamée par les pirates était de loin inférieure aux coûts nécessaires pour remédier à la cyberattaque, le maire de Baltimore avança les quelques raisons qui l’incitèrent à ne pas payer la rançon :
- Une conduite criminelle ne doit pas être récompensée, car cela pourrait rendre la ville vulnérable à d’autres attaques à l’avenir
- Rien ne garantit que les systèmes et les données associées seront déverrouillés en cas de paiement de la rançon
Les attaques par ransomware de la ville de Baltimore ont mis en lumière les dangers que représentent des pratiques informatiques et des logiciels de sécurité obsolètes. Les coûts de réparation d’une attaque par ransomware peuvent s’élever à plusieurs milliers voire millions de dollars pour votre entreprise, sans parler des dommages en termes d’image. Il est essentiel de prendre des mesures proactives pour mettre à jour vos systèmes de cybersécurité. En voici quelques-unes :
- Installer un puissant antivirus avec des outils de protection intégrés contre les ransomwares
- Implémenter des sauvegardes régulières
- Créer un plan de continuité d’activité
- Enseigner au personnel les bases de la cybersécurité
Laissez Avast protéger votre entreprise contre les attaques de ransomware
Adoptez les mesures de sécurité essentielles pour défendre et protéger votre entreprise contre les attaques par ransomware. Investissez dans un logiciel antivirus pour entreprises capable de sécuriser les serveurs Windows, de corriger les vulnérabilités et d’empêcher les activités malveillantes sur vos réseaux.