La Municipal Transportation Agency de San Francisco (SFMTA), la régie municipale chargée de l'exploitation des transports collectifs de la ville californienne, a déclaré lundi soir qu’aucune donnée n’avait été compromise dans l’attaque de ses systèmes par un ransomware et qu’elle n’a jamais envisagé de payer la rançon demandée par l'attaquant qui menaçait de publier les données volées.

La déclaration de la SFMTA fait suite à des informations selon lesquelles le prétendu pirate aurait menacé de déverser sur le Net 30 Go de données volées si la rançon, estimée à 73 000 dollars en bitcoins, n'était pas payée. « Les réseaux de la SFMTA n'ont pas été compromis dans l’attaque de la semaine dernière, et les pirates n’ont pas réussi à passer nos pare-feu », a déclaré dans un blog Kristen Holland, la porte-parole de la société municipale. Celle-ci n'a pas expliqué comment le ransomware était arrivé jusqu’aux systèmes de la SFMTA, mais il est probable qu’un employé imprudent a activé le malware en cliquant sur un lien inclus dans un email frauduleux ou un lien Web. « Le logiciel malveillant a réussi à crypter quelques systèmes, dont 900 ordinateurs de bureau, et l'accès à divers systèmes », a précisé la porte-parole.

Des transports gratuits pendant 3 jours

L'attaque du réseau du système de transport urbain, qui exploite notamment le Muni Metro de San Francisco, a permis de mettre en évidence le risque de cyberattaque encouru par les infrastructures publiques critiques. Après ce piratage, plusieurs personnes se sont dites inquiètes de la sécurité des opérations du système de transport public de la ville. En déclarant que les opérations et la sécurité des systèmes n’avaient pas été affectées et que les informations bancaires des clients n’avaient pas été compromises, la SFMTA a voulu rassurer. Dans son message, la SFMTA a aussi indiqué que le système de paie était resté opérationnel même si son accès avait été temporairement perturbé. L’attaque du système de transport par le ransomware a démarré vendredi. Un message « Vous avez été piraté, toutes vos données sont cryptées » serait apparu sur les écrans des ordinateurs des stations de transport.

En accord avec son partenaire Cubic Transportation Systems, la SFMTA a décidé de fermer par précaution les bornes d’achats de tickets et de déconnecter les portillons d’accès aux stations du Muni Metro de vendredi à dimanche matin. Si bien que les passagers ont voyagé gratuitement pendant cette période. La société municipale a demandé l’aide du département de la Sécurité intérieure pour identifier et contenir le virus et travaille en collaboration étroite avec le FBI. Dans son message, la SFMTA affirme qu’elle « n'a jamais envisagé de payer la rançon ». L'équipe IT de la société remet les systèmes en route, et tous les ordinateurs devraient fonctionner dans les prochains jours. « La plupart des ordinateurs affectés sont déjà en service », a déclaré la SFMTA.

Une menace pour les entreprises et les particuliers 

Il semble que le ransomware utilisé dans cette attaque est une variante de HDDCryptor, qui utilise des outils commerciaux pour crypter les disques durs et les partages réseau. Pour Trend Micro, à l’origine de la découverte de HDDCryptor, ce ransomware représente une menace tant pour les consommateurs que pour les entreprises. HDDCryptor ne se contente pas de cibler les ressources du partage de réseau. « Il vise également les disques, les dossiers, les fichiers, les imprimantes et les ports série via Server Message Block (SMB), et il verrouille le disque ».