Powered By Blogger

Rechercher sur ce blogue

dimanche 15 septembre 2019

Les données personnelles de 419 millions d’utilisateurs Facebook peuvent être exploités pour des attaques de type « sim swapping »

Les données personnelles de 419 millions d’utilisateurs Facebook peuvent être exploités pour des attaques de type « sim swapping ».

Facebook : des millions de numéros de téléphone en libre accès sur le web ???



Carte SIM, Hackers, SIM Swapping
Les données personnelles de 419 millions d’utilisateurs Facebook ont été découvertes sur un serveur non sécurisé. Parmi ces données se trouvaient des numéros de téléphones et des identifiants.
Nouvelle gaffe pour Facebook. Alors que le réseau social multiplie ses efforts pour améliorer sa protection de la vie privée, une nouvelle faille de sécurité vient porter un énième coup à sa réputation. Un chercheur vient de mettre la main sur une base de données contenant des millions de numéros de téléphone d’utilisateurs Facebook.

Des données non protégées

«Le futur est privé », déclarait Mark Zuckerberg en début d’année. Quelques mois plus tard, Facebook a encore du mal à tenir ses promesses.Un chercheur en cyber sécurité nommé Sanyam Jain a pu accéder aux données personnelles de 419 millions d’utilisateurs du réseau social. La base de données se trouvait en effet sur un serveur non sécurisé, accessible sans aucun mot de passe.
Les informations exposées incluaient les numéros d’identifiants Facebook, les numéros de téléphone liés au compte, des données de localisation et parfois le genre de l’utilisateur. Le serveur hébergeait les bases de données d’utilisateurs américains, britanniques et vietnamiens. Sanyam Jain précise avoir même découvert des numéros de téléphone de célébrités.
Un porte-parole de Facebook a déclaré à nos confrères de Tech Crunch que la base de données avait été récupérée avant le changement de politique sur les numéros de téléphone. « L’ensemble de données est ancien et semble contenir des informations obtenues avant les changements que nous avons faits l’an dernier pour empêcher les gens de trouver d’autres personnes en utilisant leur numéro de téléphone. », a-t-il expliqué.

Des risques de fraude élevés

Cette information suggère néanmoins que la base de données a pu être accessible pendant au moins un an. Une telle fuite comporte de nombreux risques pour les utilisateurs concernés. Les numéros de téléphone peuvent en effet être exploités pour des attaques de type « sim swapping », qui permettent de voler et d’utiliser le numéro de l’abonné.
Facebook assure que la base de données a été supprimée et qu’aucun compte n’a été compromis. Ce nouvel incident prouve cependant que le groupe a encore du chemin à faire pour protéger la vie privée de ses utilisateurs.

Comment limiter les risques ?

On l’a vu, les risques pour vous sont en réalité faibles… mais ils ne sont pas complètement nuls ! Des techniques plus avancées peuvent exister, faisant par exemple appel à des complices chez les opérateurs.
Les conseils à retenir sont donc les suivants :
  • Ne cliquez jamais dans un email ou un SMS pour accéder à votre compte opérateur
  • Soyez vigilants par rapport aux messages envoyés par votre opérateur au sujet d’opérations faites sur votre compte : changement d’adresse, changement d’email, demande de nouvelle SIM


En quoi consiste le « SIM swapping » ?

Ce terme désigne le fait de « voler » le numéro de téléphone portable de quelqu’un. Cela ne nécessite pas de grande expertise technique. Dans les cas les plus courants de piratage par « SIM swapping », un pirate contacte le service client de votre opérateur afin de se faire passer pour vous. En effet, votre numéro est rattaché à une carte SIM. Cette petite puce dans votre téléphone vous identifie et vous permet, pour résumer, de vous connecter aux réseaux téléphoniques, 3G et 4G.
Prétextant la perte, une malfonction ou le vol de votre carte SIM, le pirate demande alors à activer votre numéro sur une nouvelle carte SIM, que lui possède. Pour convaincre le service client au bout du fil, il utilise des informations personnelles (date de naissance, adresse, numéro de client, etc.), qu’il a pu trouver sur Internet ou par d’autres moyens. Une fois l’opération réussie, le pirate peut alors recevoir à votre place des appels et des SMS qui vous sont destinés.Mais la technique fait régulièrement parler d’elle, comme dans le cas du piratage de centaines d’utilisateurs d’Instagram, qui ont perdu l’accès à leur compte l’été dernier. L’Agence France-Presse (AFP) souligne que des milliers d’attaques de ce type ont notamment été recensées dans des pays où les paiements par téléphone mobile sont monnaie courante, comme le Brésil, le Mozambique, l’Inde ou l’Espagne. Plus largement, les systèmes de sécurité de nombreux opérateurs mobiles « sont insuffisants et rendent leurs clients vulnérables aux attaques à la carte SIM », estiment deux chercheurs de l’entreprise de sécurité informatique Kaspersky, Fabio Assolini et Andre Tenreiro, interrogés par l’AFP.

REF.: 

Dès 2020, on aura des périphériques en USB4

Dès 2020, on aura des périphériques en USB4


L’USB Promoter Group vient de publier les spécifications finales de la prochaine version de l’USB. Les premiers produits compatibles USB4 (et pas « USB 4 ») devraient voir le jour dès l’année prochaine.

Cette nouvelle version de la norme USB apporte principalement trois avantages par rapport aux versions précédentes : une vitesse de transfert plus élevée, une compatibilité Thunderbolt 3 et des optimisations du côté des flux vidéo.

Débit maximal de 40 Gbps et compatibilité Thunderbolt 3

L’USB4 pourra ainsi atteindre un débit maximal de 40 Gbps, soit autant que le Thunderbolt 3, contre 20 Gbps « seulement » pour l’USB 3.2. Mais attention, il faudra pour cela utiliser des câbles adaptés. Le connecteur USB Type-C devient d’ailleurs indispensable pour profiter de tous les avantages de l’USB4. Autrement dit, utiliser un connecteur Type-A limitera le débit et la puissance délivrée au niveau de « l’ancienne » norme USB 3.1.
Trois vitesses devraient être possibles pour les appareils compatibles USB4. Ces derniers pourront fonctionner à 10 Gbps, 20 Gbps ou 40 Gbps, selon leurs besoins. Attention donc à bien vérifier ce point lors de votre futur achat. Les câbles et périphériques actuels pourront bien entendu être utilisés, mais la vitesse atteignable dépendra de leur implémentation respective de la norme USB.
La compatibilité Thunderbolt 3 n’est en revanche pas obligatoire dans la nouvelle norme USB4. Cela signifie que les constructeurs ne seront pas obligés de l’implémenter dans leurs produits et ordinateurs. L’USB Promoter Group estime toutefois que la majorité des ordinateurs compatibles USB4 proposeront tout de même cette compatibilité Thunderbolt 3.

Gestion améliorée des transferts mixtes vidéo/data

Une grande partie des spécifications de l’USB4 améliore la gestion dynamique des ressources allouées aux flux vidéo. Il devient ainsi possible de gérer dynamiquement la bande passante allouée à la vidéo et aux autres données lors d’un transfert « mixte » sur la même connexion. Cela permet d’optimiser l’utilisation de la bande passante totale disponible.

Prise en charge obligatoire de l’USB PD

Enfin, tous les contrôleurs USB4, hôtes comme périphériques, supporteront l’USB PD (Power Delivery). Cette norme permet de délivrer un maximum de 100 watts, ce qui ne veut toutefois pas dire que tous les périphériques et appareils USB4 atteindront cette puissance maximale.

L’attaque Simjacker utilisée pour pister des internautes pendant au mois deux ans

L’attaque Simjacker utilisée pour pister des internautes pendant au mois deux ans


L’attaque baptisée Simjacker exploite les technologies de navigateur STK et S@T installées sur certaines cartes SIM.




Carte SIM, Hackers

L�attaque Simjacker utilisée pour pister des internautes pendant au mois deux ans
Des chercheurs en sécurité ont révélé  qu'une méthode d'attaque par SMS était utilisée par un vendeur de logiciels de surveillance pour suivre et surveiller des personnes.
"Nous sommes assez confiants pour affirmer que cet exploit a été développé par une société privée spécifique qui collabore avec les gouvernements pour surveiller les individus", ont déclaré des chercheurs en sécurité d'AdaptiveMobile Security dans un rapport publié hier.
"Nous pensons que cette vulnérabilité est exploitée depuis au moins 2 ans par un acteur hautement sophistiqué et présent dans plusieurs pays, principalement à des fins de surveillance."
Les chercheurs ont décrit cette attaque comme "un énorme bond en complexité et en sophistication" par rapport aux attaques précédemment observées sur les réseaux mobiles et "une augmentation considérable des compétences et des capacités des attaquants".

Comment fonctionne Simjacker ?

Simjacker nécessite que l’attaquant utilise tout d’abord un smartphone, un modem GSM ou tout service A2P (application à personne) pour envoyer un SMS au numéro de téléphone d'une victime.

Ces messages SMS contiennent des instructions SIM Toolkit (STK) masquées, prises en charge par le navigateur S@T de l’appareil, une application qui réside sur la carte SIM plutôt que sur le téléphone.
Le navigateur S@T et les instructions STK sont une ancienne technologie prise en charge sur certains réseaux mobiles et leurs cartes SIM. Ils peuvent être utilisés pour déclencher des actions sur un appareil, telles que le lancement de navigateurs, la lecture de sons ou l'affichage de fenêtres contextuelles. À l’âge des réseaux de téléphonie mobile, les opérateurs utilisaient ces protocoles pour envoyer aux utilisateurs des offres promotionnelles ou fournir des informations de facturation.
Cependant, AdaptiveMobile explique que les attaques de Simjacker ont révélé une nouvelle utilisation abusive de ce mécanisme, qui vise à ordonner aux téléphones des victimes de transmettre des données de localisation et des codes IMEI, que la carte SIM envoie ultérieurement via un message SMS à un appareil tiers. Cette technique permet aux attaquants de géolocaliser la victime.
Pour ne pas arranger les choses, l'attaque Simjacker est complètement silencieuse. Les victimes ne voient aucun message SMS dans leur boîte de réception ou leur boîte d'envoi. Cela permet aux attaquants de bombarder continuellement les victimes avec des SMS et de suivre leurs déplacements à l’envi.
De plus, comme Simjacker exploite une technologie résidant sur la carte SIM, l’attaque fonctionne indépendamment du type de terminal de l’utilisateur.
"Nous avons observé que des appareils de presque tous les fabricants étaient visés avec succès pour récupérer la géolocalisation des appareils. Les téléphones Apple, ZTE, Motorola, Samsung, Google, Huawei et même les objets connectés avec cartes SIM ont fait partie des cibles", ont déclaré des chercheurs.
La seule bonne nouvelle est que l'attaque ne repose pas sur des messages SMS normaux, mais sur un code binaire plus complexe, envoyé sous forme de SMS, ce qui signifie que les opérateurs de réseau doivent pouvoir configurer leur équipement pour bloquer ces messages.

Des attaques effectives détectées

AdaptiveMobile n’ayant pas donné le nom de la société à l’origine de ces attaques,il est impossible de savoir si cette vulnérabilité est utilisée pour traquer des criminels ou des terroristes, ou si elle est utilisée pour traquer des dissidents, des journalistes ou des opposants politiques.
Néanmoins, AdaptiveMobile a déclaré que les attaques de Simjacker se produisent quotidiennement, en grand nombre.
Dans la plupart des cas, les numéros de téléphone sont suivis plusieurs fois par jour, pendant de longues périodes.
Cependant, des chercheurs ont déclaré que quelques numéros de téléphone avaient été suivis cent fois sur une période de 7 jours, suggérant qu'ils appartenaient à des cibles spécifiques.

"Ces modèles et le nombre de messages envoyés indiquent qu'il ne s'agit pas d'une opération de surveillance de masse, mais bien d’une opération conçue pour suivre un grand nombre d'individus à diverses fins, les objectifs et les priorités évoluant avec le temps", ont déclaré des chercheurs d'AdaptiveMobile.

Simjacker est le résultat d'améliorations apportées aux réseaux mobiles

Le mystère plane donc sur le réel développeur de cette attaque, mais AdaptiveMobile déclare que la société privée à l’origine de l’attaque était un expert dans le domaine.
"En plus de produire ce logiciel espion, cette même société dispose également d'un accès étendu aux réseaux SS7 et Diameter, car nous avons vu certaines des victimes de Simjacker être ciblées à l'aide d'attaques sur le réseau SS7, avec l'utilisation de méthodes d'attaque SS7 comme méthode de secours lorsque les attaques de Simjacker ne fonctionnaient pas ", a déclaré AdaptiveMobile.
"Nous pensons que l'attaque Simjacker a évolué pour remplacer directement les capacités que les attaquants des réseaux mobiles avaient perdues lorsque les opérateurs ont commencé à sécuriser leurs infrastructures SS7 et Diameter", ont déclaré des chercheurs.
Cependant, alors que les attaques sur les protocoles SS7 et Diameter impliquaient une connaissance approfondie des protocoles de réseau mobile et des équipements coûteux, l’attaque de Simjacker est beaucoup plus simple et moins chère. Selon un chercheur, il suffirait d'un modem GSM à 10 dollars et du numéro de téléphone de victime.

Protocole antique, sécurité en toc

La vulnérabilité au cœur de l'attaque de Simjacker aurait pu être facilement évitée si les opérateurs de téléphonie mobile avaient fait preuve de retenue dans le code qu'ils ont implémenté sur leurs cartes SIM.
"Le logiciel S@T Browser n'est pas bien connu, il est assez ancien et son objectif initial était d’offrir des services tels que l'obtention du solde de votre compte via la carte SIM", ont déclaré des chercheurs.
"Globalement, sa fonction a été en grande partie remplacée par d'autres technologies. Ses spécifications n'ont pas été mises à jour depuis 2009. Cependant, comme de nombreuses technologies traditionnelles, elles sont toujours utilisées."
AdaptiveMobile a déclaré que la technologie S@T Browser était active sur le réseau des opérateurs de téléphonie mobile dans au moins 30 pays du monde. Les chercheurs ont indiqué que ces pays ont une population cumulée de plus d'un milliard de personnes, qui sont toutes exposées à cette méthode de surveillance silencieuse. Selon une source qui a parlé à ZDNet, les pays concernés se situent dans la région MENA (Moyen-Orient, Afrique du Nord) et quelques-uns en Asie et en Europe de l'Est.
En outre, la technologie S@T Browser prend en charge plus que les commandes exploitées par les attaquants - à savoir celles qui consistent à récupérer des données de localisation et des codes IMEI, et à envoyer un message SMS.
D'autres commandes prises en charge par le navigateur S@T incluent la possibilité de passer des appels, d'éteindre les cartes SIM, d'exécuter des commandes de modem AT, d'ouvrir des navigateurs (avec des liens de phishing ou sur des sites dotés d'un code malveillant), etc.
AdaptiveMobile indique que cette technologie et cette attaque pourraient servir à autre chose qu'à la surveillance, et que d'autres acteurs pourraient également en abuser. Par exemple, Simjacker pourrait également être utilisé pour des campagnes de désinformation (pour l'envoi de SMS / MMS avec un contenu factice), pour des fraudes financières ( via la composition de numéros payants), pour l'espionnage (pour lancer des appels et écouter les conversations à proximité) et pour le sabotage (en désactivant la carte SIM de la cible), parmi beaucoup d’autres.
Les attaques Simjacker ne sont pas nouvelles. Il s’agit juste de l’exploitation par un acteur malveillant des technologies STK. Ces attaques sont connues, au moins sur le plan théorique, depuis 2011 : le chercheur en sécurité roumain Bogdan Alecu décrivait pour la première fois comment un acteur malveillant pouvait utiliser les commandes STK pour inscrire des utilisateurs à des services payants [1, 2].
L'équipe de recherche AdaptiveMobile présentera davantage d'informations sur les attaques de Simjacker lors de la conférence sur la sécurité VirusBulletin 2019 qui se tiendra à Londres en octobre prochain.
Source : Simjacker attack exploited in the wild to track users for at least two years

La fin du ransomware n’a pas sonné (et 4 conseils pour les éviter)

La fin du ransomware n’a pas sonné (et 4 conseils pour les éviter)


Sauvegarder toutes les données critiques, ne jamais arrêter les correctifs, se méfier du phishing, supprimer les privilèges ; Ketty Cassamajor explique dans cette tribune comment se méfier de ces attaques devenues incessantes.


Le 16 août dernier, une vaste attaque de ransomwares a visé une vingtaine d’administrations texanes. Une menace qui ne faiblit pas puisque ces derniers mois, plus de 40 villes des Etats-Unis ont été victimes de cyberattaques. Parmi elles, la ville de Baltimore a été paralysée par une attaque massive de ransomware en mai dernier.
Au cours de cette attaque, de nombreux systèmes IT de la ville ont été pris en otage, bloquant des milliers d’ordinateurs des administrations publiques, provoquant des retards dans les ventes immobilières et des perturbations dans le paiement des factures d’eau, et coûtant in fine à la ville plus de 18 millions de dollars.
Le dernier rapport de Verizon indique que les ransomwares représentent près de 24 % de toutes les attaques liées aux logiciels malveillants, tous secteurs confondus. Un autre rapport de 2019, du groupe Beazley, sur les brèches de sécurité, fait état d’une hausse vertigineuse de 105 % des signalements de ransomwares entre le premier trimestre de 2018 et la même période cette année. Les demandes de paiement augmentent également de manière significative. Beazley indique que le paiement moyen au premier trimestre de 2019 – 224 871 dollars – a déjà largement dépassé le total pour l’année 2018, à savoir 116 324 dollars.

Ransomware : + 39 % en 2018

Comme en témoigne l’attaque de Baltimore, les administrations et les municipalités semblent particulièrement vulnérables aux ransomwares. La société de recherche en cybersécurité Recorded Future a récemment publié une étude sur la recrudescence des attaques par ransomware contre les administrations centrales et locales ciblant les opérateurs et organisations d’importance vitale (OIV) : elle révèle que les attaques signalées contre les administrations et les municipalités ont grimpé en flèche de 39 % en 2018. Il en ressort également qu’au moins 169 systèmes des administrations et des municipalités ont fait l’objet d’attaques depuis 2013, dont au moins 45 commissariats de police et bureaux de shérifs dans 48 des 50 États.
A la lumière des dernières attaques qui ont visé le Texas en août 2019, force est de constater que ces menaces ne disparaitront pas de sitôt. Bien qu’il n’existe pas de solution miracle pour les prévenir, les organismes gouvernementaux et les entreprises peuvent prendre un certain nombre de mesures pour réduire considérablement le risque que les malware se propagent et causent d’importants dégâts :

1. Sauvegarder toutes les données critiques

Aussi basique que cela paraisse, il reste étonnant de voir le nombre d’organisations qui ne le font pas régulièrement. Il est important de classer les données essentielles pour son entreprise par ordre de priorité et de les sauvegarder de façon cohérente afin que, si les fichiers sont verrouillés et retenus en otage contre rançon, il soit possible de continuer à gérer l’organisation, même partiellement.

2. Ne jamais arrêter les correctifs

L’application régulière de correctifs aux applications, points d’accès et serveurs réduira considérablement la surface d’attaque, ce qui permettra de limiter sensiblement les failles de sécurité. Cette action est indispensable à la prévention des attaques par ransomware, de même que les mises à jour régulières des antivirus, pare-feu et autres outils de protection des périphériques.

3. Se méfier du phishing

Selon Verizon, le phishing représente 32 % des violations actuelles et 78 % des incidents de cyber-espionnage. Les pirates informatiques commencent souvent leurs attaques par des campagnes de phishing ciblées. C’est pourquoi si un employé – quel que soit son niveau hiérarchique – reçoit un appel, un email, un SMS ou un message instantané non sollicité, il est important qu’il ne réponde, ni ne clique sur le moindre lien – même si la personne prétend provenir d’un service légitime – avant de confirmer sa légitimité. Pour cela, les entreprises doivent relancer régulièrement des campagnes de sensibilisation et de rappel des bonnes pratiques de sécurité.

4. Supprimer les privilèges de l’administrateur local pour contenir et bloquer les attaques

Bien que la sensibilisation des employés au phishing soit importante, elle ne saurait suffire. La suppression des droits d’administrateur local est le fondement d’une sécurité efficace des terminaux. En implémentant une combinaison de politiques de contrôle des privilèges et des applications sur les terminaux et les serveurs dans le cadre d’une approche Zero Trust plus large, les organisations peuvent réduire le risque de propagation de malwares depuis le point d’infection initial. La suppression des droits d’administrateur local, combinée au contrôle des applications et au greylisting, se révèle alors efficace à 100 % pour empêcher les ransomwares de chiffrer les fichiers.
Par ailleurs, les antivirus traditionnels, ceux de nouvelle génération ou les solutions de détection et de réponse aux points d’accès ne peuvent pas bloquer à eux seuls les ransomwares. Ils doivent en effet être combinés à une couche critique de protection pour renforcer l’ensemble des outils de sécurité des terminaux de l’entreprise, permettant aux équipes IT et de sécurité de maîtriser les attaques, comme les malwares et les ransomwares, au niveau des points d’accès. Ainsi, une stratégie prête à l’emploi de protection contre les ransomwares – y compris les contrôles complets des privilèges les plus faibles testés sur des centaines de milliers d’échantillons de malware – permet de bloquer efficacement leur propagation sur le réseau, réduisant ainsi considérablement le temps et les efforts de restauration.
Les attaques, quelle que soit leur nature, sont imminentes et inévitables, c’est pourquoi les entreprises ne peuvent plus se permettre d’être surprises. En prenant des mesures proactives pour protéger les privilèges sur les terminaux et circonscrire les attaques au début de leur cycle de vie, elles seront en mesure de se prémunir contre des mois de récupération de leur image, de leurs finances et de leur stabilité après une cyberattaque.

REF.:

Ransomware : les criminels voulaient 5,3 millions, la ville n’avait que 400 000 dollars à offrir



Ransomware : les criminels voulaient 5,3 millions, la ville n’avait que 400 000 dollars à offrir


ransomwares, virus, hackers
 
 
 
Sécurité : Les fonctionnaires de la ville américaine de New Bedford ont finalement décidé de restaurer à partir de sauvegardes après l'échec des négociations.


Un gang de cybercriminels a tenté d’obtenir le paiement d’une rançon de 5,3 millions de dollars auprès de la ville de New Bedford, dans le Massachusetts aux États unis. La ville a finalement choisi de restaurer à partir de sauvegardes après que les pirates aient rejeté une contre-offre plus modeste de seulement 400 000 dollars.
L'incident s'est produit début juillet, mais les détails ont été gardés secrets jusqu'à aujourd'hui. Le maire de New Bedford, Jon Mitchell, a tenu une conférence de presse détaillant les efforts déployés par la ville pour gérer les retombées de l'infection par le ransomware.

Seulement 4% du réseau informatique de la ville touché

Selon le maire Mitchell, le ransomware a touché le réseau informatique de la ville dans la nuit du 4 au 5 juillet.
Selon un rapport publié la semaine dernière par Fidelis Security, un groupe de pirates informatiques s’ets infiltré sur le réseau informatique de la ville et a installé Ryuk, un type de ransomware utilisé lors d'attaques ciblées, qui constitue la souche la plus répandue dans le monde des ransomwares.
Le maire Mitchell a déclaré que les ransomwares s’étaient répandus sur le réseau de la ville et avaient procédé au chiffrement des fichiers sur 158 postes de travail, ce qui représentait 4% du parc informatique total de la ville.
Les choses auraient pu être bien pires, a déclaré le responsable, mais des assaillants ont frappé la nuit lorsque la plupart des systèmes de la ville étaient éteints, ce qui a limité la propagation du malware.

Une rançon absurde

Le personnel informatique de la ville a découvert le logiciel ransomware le lendemain en arrivant au travail. Les employés ont rapidement déconnecté les ordinateurs infectés du réseau de la ville et de contenir l'infection avant qu'elle ne cause encore plus de dégâts.
"Alors que l'attaque était toujours en cours, la ville, par l'intermédiaire de ses consultants, a contacté les attaquants, qui avaient laissé une adresse électronique", a déclaré le maire Mitchell lors d'une conférence de presse.
"L'attaquant a répondu par une demande de rançon, précisant qu'il fournirait une clé de déchiffrement pour déverrouiller les fichiers en échange d'un paiement en Bitcoins de 5,3 millions de dollars", a-t-il ajouté.
La ville n'a pas payé, principalement parce qu'elle n'avait pas les fonds nécessaires. Si c’était le cas, cela aurait constitué le plus important paiement de rançon de ransomware jamais effectué, dépassant ainsi le record précédent de 1 million de dollars, détenu par une société d’hébergement Web sud-coréenne.
Même s’ils savaient qu’ils ne pourraient pas payer, le maire Mitchell a déclaré que la ville avait décidé d’engager une conversation avec les pirates informatiques afin que le personnel informatique dispose de plus de temps pour renforcer les défenses de la ville et protéger son réseau au cas où les attaquants prendraient d’autres mesures, en plus de l'exécution de ransomware.
"Compte tenu de ces considérations, j'ai décidé de faire une contre-offre en utilisant notre assurance d'un montant de 400 000 dollars, montant que je jugeais conforme aux rançons récemment versées par d'autres municipalités", a déclaré le maire Mitchell. "L'attaquant a refusé de faire une contre-offre, rejetant complètement la proposition de la ville."
À ce moment-là, réalisant que les pirates informatiques ne négocieraient pas, le maire de New Bedford a déclaré avoir décidé de restaurer à partir de sauvegardes.
La décision de la ville de restaurer à partir de sauvegardes a été facile, en raison du faible nombre de systèmes infectés et du fait qu'aucun système critique n'avait été affecté par le malware. La situation de la ville n’était pas aussi délicate que dans d’autres municipalités, ou plusieurs services critiques avaient été rendus inutilisables par des attaques informatiques.
La conférence de presse complète du maire Mitchell est disponible ci-dessous, avec l'aimable autorisation de The Standard-Times, dont les journalistes ont également publié l'histoire plus tôt aujourd'hui.
Au cours des derniers mois, les villes américaines ont été une cible privilégiée pour les gangs de ransomwares. Vous trouverez ci-dessous quelques-unes des affaires les plus médiatisées qui ont touché les municipalités américaines:    
Une récente enquête de ProPublica a révélé que les sociétés d'assurance alimentaient l'économie du ransomware en conseillant aux villes de payer des demandes de rançons plutôt que de reconstruire des réseaux informatiques, car les rançons se révèlent moins coûteuses pour les sociétés d'assurance.
Cette augmentation du nombre de paiements a redonné une nouvelle jeunesse au secteur des ransomware, attirant de nouveaux acteurs vers cette activité lucrative, et ce bien que celui-ci ait connu l’année dernière un creux en termes d’activité.
Source.: Ransomware gang wanted $5.3 million from US city, but they only offered $400,000