Ransomware : une première facture à plus de 2,6 M$ pour Atlanta

Un épisode de rançongiciel a commencé à affecter la ville d’Atlanta tôt, le 22 mars dernier. Le FBI, le ministère américain de l’Intérieur (DHS), Microsoft et Cisco ont été appelés à la rescousse rapidement. La ville a indiqué que certains de ses systèmes destinés au public souffraient d’indisponibilités. Cinq jours plus tard, le bureau du maire avait assuré que la phase de restauration des services était engagée et que les employés étaient invités à rallumer ordinateurs et imprimantes.

Mais tout cela n’est pas gratuit. La ville liste, sur son portail, les dépenses qu’elle a été amenée à engager pour faire face à cette crise. La liste n’est pas bien longue – huit lignes – mais les montants sont conséquents et la somme totale, rondelette.

On apprend ainsi que les services de Cisco ont coûté 60 000 $ à la ville, contre 650 000 $ pour ceux de SecureWorks, ou encore 600 000 $ pour ceux d’Ernst & Young dans l’accompagnement à la réponse à incident. A cela s’ajoutent des prestations pour la reconstruction de l’infrastructure poste client des tribunaux locaux, ou encore pour la migration vers Azure, et la communication de crise. Le montant total s’élève à plus de 2,6 M$.

L’histoire ne dit pas, pour l’heure, si la ville d’Atlanta dispose d’une assurance susceptible de couvrir tout ou partie de ces coûts. Mais ces montants interpellent. Ils donnent en tout cas à réfléchir sur les motivations d’entreprises qui restent nombreuses à payer les rançons demandées. Même si, dans le cadre d’Atlanta, il semble que cela n’ait pas été une option – le portail de paiement de la rançon demandée, de l’ordre de 50 000 $ au moment des faits, avait été désactivé avant l’échéance affichée. Le groupe opérant le ransomware SamSam aurait été à l’origine de l’épisode.

Mais les pratiques de sécurité de la ville promettent d’être également questionnées. Au moment de l’incident, Rendition Infosec relevait ainsi que des services RDP étaient exposés par certains des hôtes du système d’information d’Atlanta, sur Internet, sans authentification forte. Et cela vaudrait aussi pour des services SMB.

Surtout, cinq systèmes avaient déjà été compromis en avril 2017, via le tristement célèbre EternalBlue. L’un d’entre eux pourrait avoir été un serveur de messagerie électronique, mettant potentiellement en danger des données personnelles. En mars dernier, Rendition Infosec dénonçait donc que « la ville d’Atlanta n’ait pas appliqué les correctifs à ses hôtes exposés sur Internet plus d’un mois après la diffusion de correctifs critiques par Microsoft ».