Barracuda full logo

La ville d'Oakland toujours aux prises avec les ransomwares

Thèmes:
29 mars 2023
|
Christine Barry

La ville d'Oakland en Californie a été visée par une attaque de ransomware début février 2023. La ville a déclaré l'état d'urgence et informé le public que les services d'urgence fonctionnaient mais que de nombreux systèmes étaient temporairement hors ligne. Alors que les mesures d'atténuation et l'enquête étaient en cours, le gang de ransomware Play a menacé de publier les données volées à la ville. Ces données incluaient soi-disant les informations personnelles des fonctionnaires qui étaient employés par la ville entre juillet 2010 et janvier 2022. Les propriétaires de petites entreprises et d'autres membres du public dont des données étaient hébergées sur le réseau de la ville ont également été touchés.

La violation de données

Le 4 mars, le gang a publié un ensemble de données de 10 Go qu’ils ont décrit comme « des données confidentielles privées et personnelles et des informations financières. Des pièces d'identité, des passeports, des informations complètes sur les employés, des informations qui prouveraient des violations des droits de l'homme. Pour l'instant, la version compressée de 10 Go est partiellement publiée. » Une capture d'écran de leur annonce est disponible ici. Le « collectif leaktivist » DDoSecrets (ddosecrets point com) a confirmé que certains contenus pourraient nuire à la ville :

 

Source : Brett Callow, analyste de menaces via Twitter

 

La ville a envoyé des courriers de notification sur la violation de données aux personnes concernées le 15 mars.

Le gang de ransomware LockBit affirme également avoir volé des données à la ville d'Oakland et menace de publier le lot le 10 avril. Les fonctionnaires de la ville déclarent ne pas avoir de preuve d'une deuxième attaque, et LockBit n'a pas publié de preuve qu'il est effectivement en possession de données de la ville. LockBit est également connu pour avoir fait de fausses déclarations, une technique de publicité visant à promouvoir son activité de ransomware-en-tant-que-service.

Bien qu'il n'y ait aucune preuve que cela soit le cas à Oakland, il est possible que les victimes d'attaques de ransomware subissent plusieurs attaques en même temps. De nombreuses cibles très en vue subissent des attaques continues et automatisées par plusieurs groupes. Lorsqu'un acteur malveillant réussit à s'immiscer sur un réseau, il pourrait fort bien en cacher un autre. Cela est particulièrement vrai lorsque le pirate est affilié à plusieurs groupes.  

 

Source : Brett Callow, analyste de menaces via Twitter

 

Les victimes

Bien que des milliers d'employés municipaux et de chefs de TPE aient pu voir leurs données sensibles exposées, ce sont les syndicats de la ville que l'on entend le plus dans la presse. L'Association des policiers d'Oakland (OPOA) a publié un communiqué de presse accusant la ville d'avoir « ignoré » et « bloqué » les employés au sujet des retombées de l'attaque. Le président de l'OPOA Barry Donelan déclare que certains membres de l'OPOA ont déjà été victimes d'un vol d'identité depuis la violation. Barry Donelan a également indiqué à la presse locale que certains systèmes de la police étaient toujours hors ligne, empêchant certains policiers de remplir des rapports correctement. 

La section locale 55 des pompiers d'Oakland (IAFF 55) a également fait part de ses préoccupations à l'égard de ses membres. Le président Zac Unger a mentionné qu'en plus des inquiétudes concernant la violation de données, certains membres n'ont pas été payés pendant près de deux semaines. Il a également souligné que le syndicat des pompiers avait alerté la ville « depuis des années » qu'ils étaient vulnérables à des attaques.

Un porte-parole de la ville a répondu à une demande de la presse concernant le manque de transparence. Le courrier insiste sur le fait qu'il faut peser dans la balance la transparence avec la nécessité de protéger l'intégrité de l'enquête et la sécurité des systèmes de la ville. La ville travaille toujours avec le FBI et les officiels déclarent ne pas pouvoir divulguer toutes les informations dont ils disposent. Pendant ce temps, les syndicats ont déclaré qu'ils envisagent une action juridique contre la ville.

Ce qu’il faut retenir

Les ransomwares et les violations de données nous donnent toujours quelques leçons :

  • Protégez vos identifiants et protégez-vous contre les attaques de phishing
  • Protégez vos applications avec un code sécurisé et la sécurité des applications
  • Sauvegardez vos données dans un système sécurisé conçu pour échapper aux attaques de ransomware

Bien que la cyberattaque d'Oakland ne soit pas encore terminée, elle donne quelques leçons importantes aux autres victimes potentielles : 

  • Surcommuniquer. Tout comme une catastrophe naturelle, un événement de cybersécurité qui a un impact sur le public doit être largement communiqué au public. Oakland a fourni des mises à jour, mais il ne suffit pas d'envoyer des messages lorsque les gens ont peur pour leur compte bancaire. La surcommunication en temps de crise renforce les messages importants provenant du leadership. Ces communications n'ont pas à inclure d'informations sensibles, mais elles doivent être proactives, fréquentes et démontrer que l'équipe dirigeante est sincère dans ses efforts de résolution du problème.
  • Faire attention aux distractions et aux attaques multiples. Comme nous l'avons mentionné dans l'article sur KillNet, une attaque peut en cacher une autre. Quand les équipes informatiques sont occupées par un incident, elles peuvent passer à côté d'une autre attaque qui a lieu dans un autre système. Plusieurs attaques peuvent être menées par un seul groupe, ou plusieurs groupes peuvent tirer parti d'un système compromis.
  • Agir dès les premiers signes. Un audit de la ville en 2021 avait déjà noté les mauvaises conditions de l'infrastructure informatique d'Oakland. L'audit avertit spécifiquement, « la ville est exposée aux menaces provenant d'attaques de ransomware, de cyberattaques et d'autres menaces ». L'audit mentionne également les limites en matière de personnel et de ressources. Oakland a également rencontré des problèmes techniques en décembre 2021 qui « ont paralysé les systèmes de la ville ». 

 

Source : Jaime Omar Yassin, journaliste via Twitter

 

Vous pouvez compter sur Barracuda

Les gouvernements des États et les autorités locales sont les cibles préférées des gangs de ransomware, car leur posture de sécurité est souvent définie par des budgets qui évoluent en fonction de l'opinion publique. Ces organismes ne privilégient peut-être pas la cybersécurité par rapport à d'autres besoins, mais ils peuvent être prêts à payer une rançon si des services critiques sont pris en otage par un ransomware. Ce qui est considéré comme une cible de choix pour les gangs cybercriminels.

Les ransomwares sont un problème de sécurité nationale. Les États-Unis sont devenus plus agressifs dans la lutte contre ces gangs au niveau fédéral et ont alloué 1 milliard de dollars en subventions de cybersécurité aux administrations locales. Nous encourageons les entités éligibles à préparer une stratégie de cybersécurité et à demander l'attribution de ces fonds lorsqu'elles sont prêtes. Barracuda vous protège contre les attaques de ransomware grâce à des solutions de sécurité complètes et à une protection renforcée des données. Visitez notre site Web pour plus d'informations sur la façon dont nous pouvons vous aider.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
 Cybersécurité municipale : les MSP naviguent en première ligne de la défense numérique
Cybersécurité municipale : les MSP naviguent en première ligne de la défense numérique
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.