Le Muni, la compagnie qui gère les transports en commun de la ville de San Francisco, a été victime d’une attaque par ransomware qui a commencé vendredi dernier. Ce samedi 26 novembre, les usagers du service ont vu s’afficher un message pas comme les autres sur les écrans des distributeurs de tickets. La phrase  « Vous avez été piratés toutes les données ont été chiffrées », est apparue sur les  écrans des bornes  permettant d’acheter des billets. Le message demandait également à ce que cryptom27@ yandex.com soit contacté pour obtenir la clé permettant de déverrouiller les données. Du coup, toutes les machines de paiement du réseau ont été hors service et les voyageurs ont pu circuler sans payer samedi, durant toute la journée.

Pour le magazine CSO, ce ransomware pourrait être une variante de HDDCryptor qui utilise des logiciels d’e-commerce  pour chiffrer les disques durs et des parties du réseau. En septembre, l’éditeur de solutions de sécurité Trend Micro avait pour sa part indiqué que ce malware représentait une menace tant pour les utilisateurs que pour les entreprises puisqu'il « ciblait non seulement des parties du réseau tels que les lecteurs, les dossiers, les fichiers, les imprimantes et les ports série via le SMB (Server Message Block), mais qu’en plus il provoquait le blocage complet du lecteur ».

Des interrogations sur le versement de la rançon

Ce  dimanche, les responsables du Muni ont déclaré à l’Examiner de San Francisco que le système informatique du réseau de transport avait été restauré suite à l’attaque survenue vendredi après-midi. Selon le site, les pirates auraient demandé au Muni une rançon de 73 000 dollars pour qu’il puisse retrouver l’accès à ses données. Toutefois, on ignore si la compagnie de transport a versé cette somme aux cyberpirates. Le portefeuille de bitcoins auquel l'attaquant faisait référence dans ses communications par e-mails référencés par CSO était encore vide dimanche soir, ce qui sous-entend qu’aucun paiement n'a été effectué depuis ce portefeuille.