Barracuda full logo

Dallas : trois attaques, deux pirates, une très mauvaise année

Thèmes:
29 févr. 2024
|
Christine Barry

Le Jour des élections 2022 a marqué le début d'une mauvaise année pour Dallas et l'État du Texas. Des groupes de ransomware ont mené des attaques réussies contre le Dallas Central Appraisal District (DCAD), la ville de Dallas et le comté de Dallas entre le 8 novembre et la fin novembre 2023. Ces attaques et leurs répercussions ont fait la une des médias et ont mobilisé l'intégralité des effectifs, des fonds d'urgence et de l'attention professionnelle des élus et des fonctionnaires à travers le Texas.

Les agences gouvernementales et les entités publiques du Texas sont la cible d'attaques depuis de nombreuses années, et les effets se font encore sentir dans tout l'État. Le Texas a déclaré l'état d'urgence en 2019 en réponse à l'attaque coordonnée du groupe de ransomware REvil. La campagne de ransomware de REvil a perturbé 23 municipalités texanes, et l'attaque en a probablement ciblé des dizaines d'autres. L'affaire de « Ruthless REvil » s'est terminée par des inculpations et des arrestations en 2021. Les particuliers et les entreprises du Texas doivent encore faire face aux séquelles d'attaques antérieures.

Les trois attaques décrites dans ce billet sont importantes en termes de portée, de coût et d'impact potentiel sur le public. 

Dallas Central Appraisal District (DCAD)

Commençons par l'attaque par ransomware contre le Dallas Central Appraisal District (DCAD). Cette agence est « responsable de l'évaluation des biens immobiliers à des fins d'imposition ad valorem pour le compte des 61 autorités locales du comté de Dallas ». Au moment de l'attaque, le système du DCAD contenait près de 850 000 parcelles. Au début du mois de février 2023, le système avait presque entièrement récupéré, bien que le site mobile soit toujours hors ligne et qu'il y ait un retard dans certains types de travaux.

  • Détails de l'attaque : Les systèmes du DCAD ont été compromis le 8 novembre 2022. C'était le Jour des élections aux États-Unis, et les ressources informatiques étaient probablement consacrées aux systèmes liés aux élections. L'attaque a perturbé 300 ordinateurs de bureau, le système de messagerie électronique et le site Web du DCAD. Les e-mails du district et les applications du site Web destinées au public ont été rétablis en décembre. Le DCAD a confirmé qu'aucun système municipal n'avait été affecté.
  • Acteur malveillant : le groupe de ransomware Royal est responsable de cette attaque. Les analystes pensent que l'attaque a commencé par une attaque par hameçonnage sur des membres du personnel.
  • Rançon payée : le DCAD a payé 170 000 $ au groupe de ransomware pour récupérer l'accès à ses systèmes et empêcher la publication des données volées. La rançon a été payée à partir du fonds de réserve restreint du DCAD, qui est une « réserve d'urgence à utiliser en cas de calamité, de dépenses de programme imprévues, ou pour les coûts de démarrage fiscal ».  (Budget approuvé du DCAD pour 2022-2023, p. 30)
  • Données volées : on ne connaît pas la quantité précise de données qui ont pu être volées et diffusées. Le DCAD est le deuxième district d'évaluation du Texas, et 90 % de ses données étaient en ligne et inaccessibles.
  • Coût total : le DCAD a engagé un consultant en cybersécurité et un négociateur tiers pour remédier à l'incident du ransomware. Les coûts de récupération au-delà de la rançon n'ont pas été divulgués.

Un mois après cette attaque, Royal a compromis le Travis Central Appraisal District (TCAD), également situé au Texas. Contrairement au DCAD, l'attaque contre le TCAD aurait été résolue en une semaine.

 

Ville de Dallas

La ville de Dallas (Dallas) est le siège du comté de Dallas et compte plus de 1,3 million d'habitants. Troisième plus grande ville du Texas, elle accueille 25,7 millions de visiteurs par an. Le groupe de ransomware Royal a infecté les systèmes urbains début avril 2023 à l'aide d'un compte de service de domaine de service de base. Cela a permis à l'acteur malveillant de se connecter à un serveur et de traverser le réseau de la ville à l'aide d'outils de gestion à distance tiers légitimes. La durée d'exposition entre l'infection du serveur et le chiffrement à l'échelle de la ville a permis à Royal de se familiariser avec les systèmes de la ville, de voler plus de 1,1 To de données et de préparer une attaque par ransomware.  

  • Détails de l'attaque : le 3 mai 2023, le groupe de ransomware Royal a commencé à chiffrer des fichiers par le biais du réseau de la ville. L'attaque a exploité des outils légitimes du système Microsoft pour propager cette attaque.
  • Acteur malveillant : ransomware Royal.
  • Rançon payée : il n'est pas fait mention d'une rançon payée par la ville. Si une rançon a été payée, le montant est probablement compris dans le budget total alloué à cet incident.
  • Données volées : on estime que 1,169 To de données ont été volés à la ville, y compris les informations personnelles de plus de 30 250 personnes.
  • Coût total : la ville a approuvé un budget de 8,5 millions de dollars pour les efforts de restauration déployés par le personnel interne et les prestataires de services externes.

La ville a rédigé un rapport détaillé qui comprend les détails de l'attaque, le profil de l'acteur malveillant et les événements entourant les efforts d'interception, d'atténuation, de récupération et de restauration. La lecture de ce rapport devrait être obligatoire pour toute personne travaillant dans le domaine de l'assistance technique, de la sécurité des réseaux et de l'administration publique. 

 

Comté de Dallas

Le comté de Dallas compte plus de 2,6 millions d'habitants ; c'est le neuvième comté le plus peuplé des États-Unis. Les responsables du comté ont été informés d'un « incident de cybersécurité » le 19 octobre 2023, environ une semaine après que le personnel l'ait détecté. Contrairement à la ville de Dallas, les réseaux du comté de Dallas ont continué à fonctionner et les services publics n'ont pas été interrompus.

  • Détails de l'attaque : bien que l'événement ait été détecté plus tôt, la notification aux responsables du comté de Dallas le 19 octobre marque la date communément admise du début de l'attaque. Le 30 octobre, le comté a annoncé avoir engagé une société de sécurité tierce pour l'aider à mener une enquête médico-légale complète. Le lendemain, le comté a communiqué de plus amples informations, indiquant qu'il avait interrompu les tentatives d'exfiltration de données et empêché le chiffrement des fichiers et des systèmes. Cette attaque n'a pas de date de fin « officielle », mais la déclaration du 31 octobre suggère que l'incident a été maîtrisé avec efficacité.
  • Acteur malveillant : le groupe de ransomware Play a revendiqué la responsabilité de l'attaque. Play est également l'acteur responsable de l'attaque contre la ville d'Oakland.
  • Rançon payée : il n'est pas fait mention d'une rançon payée par le comté de Dallas.
  • Données volées : comme dans la plupart des attaques par double extorsion, Play a menacé de publier les données sensibles volées lors de l'attaque. Le comté a reconnu la menace mais ne semble pas avoir payé de rançon. Les données seraient « en grande partie des informations sur des affaires criminelles accessibles par le biais de demandes d'archives publiques ».
  • Coût total : le coût total de l'attaque n'a pas été révélé. Le comté a engagé une société de sécurité tierce pour l'aider à remédier à la situation et à enquêter.

 

Contrairement à la ville de Dallas, le comté semble avoir interrompu l'attaque et empêché la plupart des dommages. Toutefois, la divulgation d'une violation de données prend souvent des mois, voire des années ; il se peut donc qu'une enquête soit encore en cours et que le comté communique les informations plus tard. Étant donné qu'il s'agit d'une enquête criminelle, ces informations resteront confidentielles jusqu'à ce que l'enquête soit close. Bien que le comté pense avoir réussi à contenir l'attaque, il a été victime d'une escroquerie à la facture de 2,4 millions de dollars le 17 novembre 2024. Le comté affirme que cela n'a rien à voir avec l'attaque du 19 octobre, mais l'acteur malveillant reste inconnu.

Protégez votre entreprise

Barracuda offre une protection complète contre les ransomwares. Notre plateforme de cybersécurité protège vos e-mails, votre réseau, vos applications et vos données. Consultez notre site Web pour obtenir de plus amples informations. 

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.