L’Université de Californie paie une rançon cryptographique d’un million de dollars

L’Université de Californie à la San Francisco School of Medicine aurait payé une rançon de 1,14 million de dollars en crypto-monnaies aux pirates informatiques derrière une attaque de ransomware le 1er juin.

Selon CBS San Francisco, le personnel informatique de l’UCSF a d’abord détecté l’incident de sécurité, déclarant que l’attaque lancée par le groupe NetWalker a affecté «un nombre limité de serveurs à l’École de médecine».

Bien que les zones aient été isolées par des experts du réseau interne, les pirates ont laissé les serveurs inaccessibles et ont réussi à déployer le ransomware avec succès. Un communiqué publié par l’Université de Californie a déclaré:

«Les données chiffrées sont importantes pour une partie du travail académique que nous poursuivons en tant qu’université au service du bien public. […] Nous avons donc pris la décision difficile de payer une partie de la rançon, environ 1,14 million de dollars, aux individus derrière l’attaque du malware en échange d’un outil pour déverrouiller les données cryptées et le retour des données qu’ils ont obtenues. »

Une négociation a eu lieu entre les hackers et l’UCSF

BBC News a révélé qu’une négociation secrète entre les responsables de l’UCSF et le gang avait eu lieu, mais n’avait pas abouti.

Les responsables de l’Université ont d’abord demandé de réduire le montant de la rançon à 780 000 $, mais les pirates ont rejeté l’offre, déclarant que s’ils acceptaient le montant réduit, c’est comme s’ils avaient “travaillé pour rien”.

Netwalker a ensuite averti qu’ils n’accepteraient que 1,5 million de dollars et que «tout le monde dormira bien». Quelques heures plus tard, le personnel de l’UCSF a demandé les étapes à suivre pour envoyer le paiement et a présenté une offre finale de 1 140 895 $, qui a été acceptée par les pirates.

Le personnel de l’Université a ensuite envoyé le lendemain 116,4 Bitcoin (BTC) aux portefeuilles des rançonneurs et a reçu le logiciel de décryptage.

Les risques associés aux incidents liés aux ransomwares sont «plus importants que jamais»

S’adressant à Cointelegraph, Brett Callow, analyste des menaces et expert en ransomware au laboratoire de logiciels malveillants Emsisoft, a déclaré:

«Alors que les entités des secteurs public et privé aux États-Unis, en Europe et en Australasie sont les cibles les plus courantes pour les groupes de ransomwares, les entités d’autres pays sont également fréquemment ciblées. Et comme les attaques de ransomwares sont désormais des violations de données, les risques associés à ces incidents sont plus importants que jamais – tant pour les organisations ciblées que pour leurs clients et partenaires commerciaux. »

Callow ajoute que les entreprises peuvent minimiser la probabilité d’être attaqué avec succès en «adhérant aux meilleures pratiques de sécurité – verrouiller RDP, utiliser l’authentification multifacteur partout où il peut être utilisé, désactiver PowerShell lorsqu’il n’est pas nécessaire, etc.»

Début juin, Cointelegraph a rapporté que le gang de rançongiciels NetWalker avait attaqué la Michigan State University. Le groupe a menacé de divulguer les dossiers et les documents financiers des étudiants. À l’époque, les responsables de l’université ont déclaré qu’ils ne paieraient pas la rançon.