Une attaque par ransomware de la ville d'Oakland entraîne une violation massive de données

La ville d’Oakland est toujours en train de se remettre d’une attaque par ransomware survenue le 8 février, qui a désactivé ou affecté plusieurs systèmes et services publics.  Les services téléphoniques, d'email et de site Web ont été perturbés, de même que le traitement des paiements et la délivrance des permis et licences.  Le système de signalement des urgences de l'infrastructure 311 (OAK311) a été indisponible pendant une longue période. Les services d'urgence de la police et des pompiers ainsi que les services financiers de la ville n'ont pas été affectés de manière significative, bien qu'il y ait eu quelques problèmes au niveau des signalements et de la communication interne. La ville a déclaré l'état d'urgence le 14 février, ce qui a permis aux fonctionnaires municipaux de puiser dans des ressources supplémentaires pour faciliter les efforts de rétablissement.  Le site Web de la ville d'Oakland publie des informations sur le rétablissement des services.

Le 6 mars, la ville a informé le public que le gang de ransomware avait volé et publié une partie des données du réseau. Le FBI et des spécialistes de données tiers travaillent avec les autorités municipales pour déterminer l’ampleur de la violation de données. Au 8 mars, les fuites de données comprenaient les noms, adresses, numéros de permis de conduire et numéros de sécurité sociale des employés de la ville en activité entre juillet 2010 et janvier 2022.  Les autorités d'Oakland ont demandé à chaque personne concernée par cette violation de surveiller ses relevés bancaires et ses comptes de crédit.  La ville communiquera de plus amples informations aux personnes concernées.

L'attaque par ransomware a probablement été provoquée par un email de phishing déployé par le gang de ransomware Play.  Play, ou PlayCrypt, est actif depuis l'été dernier et utilise une stratégie d'attaque basée sur la « chasse au gros gibier » et la double extorsion. En d'autres termes, le gang de ransomware Play cible des victimes spécifiques en fonction des critères souhaités, qui sont généralement la capacité ou la volonté de payer une rançon. Le gang vole les données avant le chiffrement et laisse un fichier texte avec une adresse email à utiliser pour la négociation. Si la victime refuse de payer la rançon, le gang divulgue les données sensibles. Parmi les autres victimes notables de Play figurent A10 Networks, H-Hotels (Allemagne) et la ville belge d'Anvers.

L’image ci-dessous montre le site Web d’extorsion du ransomware Play annonçant la violation de données de la ville d’Oakland. (Source : Bleeping Computer)

Oakland a refusé de payer la rançon et a rétabli les systèmes à partir du backup.

Oakland rejoint maintenant une liste croissante d'administrations locales qui ont été victimes de ces gangs de ransomware. Les villes de Riviera Beach et Lake City, en Floride, ont payé les rançons lorsqu'elles ont été attaquées en 2019. Les deux villes disposaient d'une assurance pour payer la majeure partie de la demande de rançon, bien que le paiement ne garantisse jamais un résultat positif.  Atlanta, en Géorgie, et Baltimore, dans le Maryland, ont toutes deux refusé de payer.  Les coûts d'indisponibilité et de récupération ont dépassé les demandes de rançon, bien que les deux villes aient depuis apporté d'importantes améliorations à la cybersécurité.

Les ransomware sont un problème de sécurité nationale. Les États-Unis sont devenus plus agressifs dans la lutte contre ces gangs au niveau fédéral et ont alloué 1 milliard de dollars en subventions de cybersécurité aux administrations locales.  Nous encourageons les entités éligibles à préparer une stratégie de cybersécurité et à demander l'attribution de ces fonds lorsqu'elles sont prêtes.  Barracuda protège contre les attaques par ransomware grâce à des solutions de sécurité complètes et à une protection renforcée des données.  Consultez notre site Web pour plus d’informations sur la façon dont nous pouvons vous aider.