cyberattaque

Une fuite en ligne sape l’affirmation de Torrance selon laquelle aucune donnée personnelle n’a été affectée par la cyberattaque

Un nouveau message en ligne du gang DoppelPaymer suggère en outre qu’une cyberattaque subie par Torrance, en Californie, fin février-début mars était un cas de ransomware – qui semble avoir affecté les données personnelles, malgré les affirmations de la ville de Los Angeles.

Brett Callow, analyste des menaces chez Emsisoft, a partagé plusieurs exemples de données sensibles publiées sur le site de doxxing de DoppelPaymer, où les acteurs de la menace publient des documents volés aux victimes dans le cadre d’un plan d’extorsion. Les exemples comprenaient un formulaire de violation de probation du bureau du procureur de la ville de Torrance ; une déclaration à l’appui de l’accès aux dossiers des mineurs déposée auprès de la Cour supérieure de Californie, comté de Los Angeles ; et une liste d’audit d’importation de budget.

BleepingComputer a rapporté que les attaquants ont exigé une rançon de 100 – ce qui est un peu moins de 700 000 $ – après avoir déchiffré les fichiers clés et exfiltré les données violées sous la menace de les publier.

Dans un communiqué de presse publié le 1er mars sur un site Web temporaire, Torrance a reconnu l’attaque en termes génériques, qualifiant un incident de «compromis numérique interrompant les comptes de messagerie et la fonction de serveur ”, entraînant la perturbation de certains services commerciaux de la ville. Les ransomwares n’ont pas été spécifiquement cités comme cause.

Dans cette déclaration, la ville a affirmé que «les données personnelles publiques n’ont pas été affectées». Mais si le nouveau message de DoppelPaymer est, en effet, authentique, alors cette déclaration est fausse.

“Je ne sais pas pourquoi les gouvernements font ces déclarations hâtives », a déclaré Callow à SC Media. « Une déclaration plus précise serait : » Nous avons été frappés par un groupe de rançongiciels qui est connu pour voler des données, mais ne peut pas encore dire si nos données ont été volées. Nous ne saurons que lorsque a) les criminels le publieront ou b) nous terminerons notre enquête médico-légale dans un mois. En attendant, les gens devraient être à l’affût des spams, des escroqueries et des activités frauduleuses sur leurs comptes.’”

Cependant, Michael Smith, responsable de l’information du public chez Torrance, a déclaré à SC Media que «notre communiqué de presse initial tient toujours [sur] ses mérites,” notant également que “ il n’y a pas de mise à jour à ce stade.”

Smith a déclaré que tous les systèmes avaient retrouvé leur fonctionnalité normale avant les blocages COVID-19 de mars subis par la Californie et la plupart des autres États américains. En ce sens, la ville a eu la chance de rebondir avant de rencontrer une crise majeure qui aurait très bien pu ralentir sa reprise.

SC Media a demandé aux cyber-entreprises ce qui pourrait arriver si une attaque similaire à celle subie par Torrance devait avoir lieu dans les conditions COVID-19 actuelles.

“Dans le cas d’une attaque comme celle-ci, ils doivent: un, voir d’où elle se propage, et deux, voir d’où elle vient. Ils doivent revenir en arrière depuis la faille jusqu’aux systèmes réels qui sont infectés,” dit Brook Chelmo. stratège en marketing de logiciels et de produits de sécurité chez SonicWall. “Cela limitera le service en ville et rendra peut-être difficile pour les employés de travailler à domicile.”

Dans ce scénario hypothétique,“la ville peut se concentrer sur le maintien de la connectivité VPN et du réseau stable pour leurs utilisateurs travaillant à domicile,” continua Chelmo. Notant que dans la vie réelle, de nombreux administrateurs informatiques“se plaignent que les sites de procrastination et d’autres services de streaming affectent leur capacité à maintenir le réseau fonctionnel,” Chelmo a en outre observé que “essayer de garder le réseau fonctionnel tout en corrigeant ce problème [serait] une tâche difficile. ”