Atlantic.Net fournit cet avis de sécurité sous forme d'article d'actualité. Nous tenons à rassurer nos clients sur le fait qu'Atlantic.Net n'utilise aucun de ces produits concernés par cet exploit en interne ou dans aucune de nos offres de services.
Des rapports concernant une audacieuse attaque de rançongiciel cybercriminel exploitant les serveurs internes du département de police de Washington DC circulent. Des captures d'écran des serveurs de fichiers internes du département ont été téléchargées sur le site du rançongiciel Babuk Locker et publiées sur le darknet le 26 avril 2021.
Le Département de la police métropolitaine (MPD) régit la ville de Washington DC. Il s'agit d'une force de police de haut niveau qui surveille plusieurs endroits du gouvernement. Ils ont récemment été appelés pour se protéger contre la prise d'assaut du Capitole des États-Unis le 6 janvier 2021. Les radiodiffuseurs américains ont émis l'hypothèse que le MPD était ciblé pour ces raisons.
Que savons-nous de la violation de données ?
Les pirates ont obtenu un accès non autorisé aux ordinateurs MPD et ont téléchargé plus de 250 Go de fichiers hautement sensibles et non cryptés. Cela faisait partie d'une cyberattaque avancée où les serveurs de la police ont été infiltrés le ou vers le 19 avril 2021.
Le gang de rançongiciels déclare sur son site Web que les données téléchargées comprennent des informations sur les informateurs de la police, les gangs de rue de DC et des informations sensibles sur les policiers en service. Un MPD a confirmé la violation le 27 avril, a déclaré le porte-parole Sean Hickman :"Nous sommes au courant d'un accès non autorisé sur notre serveur."
Il a été rapporté par la suite que le MPD travaillait avec le FBI pour contrer cette grave menace persistante. L'attaque serait motivée financièrement. Lors de cyberattaques précédentes, Babuk a publié des rançons sur son site Web, mais on ne sait pas à quoi la rançon a été fixée pour le MPD. Babuk a donné au MPD 3 jours pour répondre à la rançon ou ils commenceront à divulguer des informations sensibles.
Le rançongiciel Babuk et le groupe lui-même sont relativement nouveaux sur la scène, ayant attiré notre attention pour la première fois en janvier 2021. Ils sont connus pour avoir été impliqués dans au moins 5 violations de données de grandes entreprises, dont la société britannique Serco Group PLC, un gouvernement britannique. société de services.
McAfee a réalisé une analyse technique approfondie du rançongiciel Babuk. Pour résumer, le logiciel malveillant supprime les clichés instantanés d'un serveur, comme les sauvegardes du système local. Les fichiers sont cryptés avec une clé utilisant l'algorithme ChaCha extrêmement puissant, ce qui rend la clé impossible à déchiffrer.
Quelles sont les causes probables de la violation ?
Nous apprenons encore exactement comment le MPD a été ciblé, car les détails sont minces sur le terrain. Lorsque nous prenons en considération les attaques précédentes du rançongiciel Babuk, il est fort probable qu'il s'agisse de l'une des suivantes :
- Email Spear Phishing – une campagne de phishing est généralement la première cause de violation de données. Les pirates s'engagent avec le personnel de première ligne pour gagner leur confiance ou les inciter à télécharger une pièce jointe malveillante à partir d'un e-mail. Une fois téléchargée, une charge utile de logiciel malveillant s'exécute en utilisant différentes couches de sophistication pour compromettre le réseau de la victime.
- Application publique exploitable – il peut s'agir de n'importe quelle application, site Web ou URL exposé à l'Internet public. Chaque application est potentiellement exploitable; c'est pourquoi les correctifs et les mises à jour de sécurité sont si importants.
- Attaque de bureau à distance – un autre vecteur d'attaque éprouvé est les attaques RDP par force brute sur les terminaux vulnérables. Si une entreprise a des connexions de bureau à distance orientées vers l'extérieur, tout ce qui se trouve entre le pirate et le serveur est un nom d'utilisateur et un mot de passe. Si la connexion RDP est sécurisée avec des informations d'identification faibles, celles-ci peuvent être devinées assez rapidement par des outils de piratage.
- Exploration de données/Enregistrement de frappe/Voleur d'informations - une autre possibilité, et bien que moins probable, des informations d'identification peuvent avoir été trouvées dans le référentiel de code en ligne MPD, ou un terminal peut avoir été compromis pour voler des informations d'identification aux ordinateurs de la police.
Que se passe-t-il ensuite ?
Jusqu'à présent, le MPD est resté silencieux, confirmant seulement la violation mais ne faisant aucun commentaire sur le contenu prétendument volé sur les serveurs MPD. Actuellement, il semble que nous attendions l'expiration du délai de 3 jours accordé au MPD. Il est peu probable que le MPD paie la rançon, et le conseil du FBI est généralement de ne pas payer la rançon, mais étant donné la sensibilité potentiellement extrême des données compromises, notamment une liste possible d'informateurs de la police, Atlantic.Net gardera un œil sur comment la situation évolue.
Si votre entreprise est préoccupée par la cybersécurité, n'hésitez pas à contacter Atlantic.Net. Nous sommes des spécialistes des services gérés, de l'hébergement cloud dédié et de la conformité HIPAA. La sécurité de notre infrastructure est d'une importance primordiale, et nous travaillons dur pour nous assurer que nous avons les meilleurs processus de sécurité en place.