La STM victime de pirates bien organisés

 

Hugo Joncas

et

Guillaume Pelletier

Mardi, 27 octobre 2020 00:00 MISE À JOUR Mardi, 27 octobre 2020 00:00

 

L’organisation qui a attaqué la Société de transport de Montréal (STM) et qui paralyse son réseau informatique depuis une semaine est un puissant groupe de pirates qui a commencé à sévir aux États-Unis plus tôt cette année. 

• À lire aussi: La panne informatique à la STM toujours pas rétablie

• À lire aussi: Un virus informatique paralyse le site internet de la STM

Selon nos informations, c’est le groupe RansomExx qui a attaqué la STM. L’organisation a la réputation de planifier minutieusement ses attaques.

«Ils visent les grandes organisations et prennent le temps de comprendre ce qu’ils sont en train d’infecter pour avoir une bonne idée de la rançon qu’ils peuvent demander», a expliqué Alexis Dorais-Joncas, chef d’équipe en renseignement de sécurité chez la firme d’antivirus ESET.

À la mi-mai, RansomExx s’en est pris au Texas Department of Transportation, l’équivalent du ministère des Transports au Québec. Une semaine plus tôt, le groupe de pirates avait déjà attaqué le système judiciaire du Texas.

À la fin juillet, ces pirates, qui travaillaient autrefois sous le nom de Defray777, ont attaqué la multinationale Konica Minolta et, quelques semaines plus tard, ils s’en sont pris à la firme d’équipement d’optique IPG Photonics.

Pas de demande de rançon à la STM

Lundi, la STM a affirmé que les pirates ne lui ont pas envoyé de demande de rançon.

«Non, nous n’avons pas reçu de demande de rançon. De toute façon, nous avons comme politique de ne pas donner suite à de telles demandes», a mentionné la porte-parole Amélie Régis.

Les équipes informatiques de la STM sont en train de rétablir les différents systèmes à partir de récentes sauvegardes, une opération fastidieuse, selon le transporteur.

Les utilisateurs du transport en commun montréalais n'ont pas trop souffert: depuis l’attaque survenue lundi dernier, les autobus et le métro n’ont pas arrêté de circuler, et il est toujours possible d’acheter tous les titres de transport dans les stations de métro et sur la plateforme OPUS en ligne.

Toutefois, le titre mensuel STM de novembre ne peut pas être acheté dans les pharmacies et les dépanneurs pour le moment, et le site internet demeure inaccessible.

Fournisseurs et employés en attente

Des entreprises qui font affaire avec la STM ainsi que des employés subissent toutefois les contrecoups de l’attaque.

Des fournisseurs de la STM ont été informés, vendredi, que le paiement des factures ne pouvait pas être effectué en ce moment. «On est en 2020, ce n'est pas normal que la STM soit capable d'opérer ses services de bus et métro, mais ne possède pas de plan B pour payer ses fournisseurs», a soutenu l'un d’entre eux, sous le couvert de l'anonymat.

La STM n'a pas pu indiquer le nombre de fournisseurs touchés par l’attaque, mais précise que des équipes travaillent déjà à payer ceux-ci.

La panne causée par l’attaque privera aussi près de 2500 employés de la STM d’une partie de leur paye. Dans un communiqué interne publié vendredi, le transporteur a indiqué que la panne l’empêchait de verser les primes et heures supplémentaires à ses chauffeurs d’autobus, opérateurs de métro et agents de station.

Ces sommes seront versées lorsque la situation sera rétablie, a indiqué la STM.

Piratages: Équipements électriques Guillevin International ,la STM ,Wendake ,Ministère de la Justice du Québec ,Revenu Canada ,Inonotech-Execaire ,Dans la Rue ,le CIUSSS ,Groupe de santé Medisys ,Technologies Xpertdoc inc, CPA Canada ,Bazinet-Taylor,Ville de Châteauguay

 

 Piratages: Équipements électriques Guillevin International ,la STM  ,Wendake ,Ministère de la Justice du Québec ,Revenu Canada ,Inonotech-Execaire ,Dans la Rue ,le CIUSSS ,Groupe de santé Medisys ,Technologies Xpertdoc inc, CPA Canada ,Bazinet-Taylor,Ville de Châteauguay

Leurs données commerciales publiées en ligne:

 

Le distributeur montréalais d’équipements électriques Guillevin International a vu des centaines de ses documents commerciaux se retrouver en ligne après une attaque au rançongiciel, le 12 septembre.

• À lire aussi: Fraudés de 120 000 $ après une cyberattaque

• À lire aussi: Les cyberguerriers lancent des avertissements sur le travail à domicile

• À lire aussi: Une vraie épidémie

« C’est ce qui arrive quand tu ne payes pas », nous dit Luc Rodier, PDG de l’entreprise.

Les pirates avaient laissé des instructions pour les contacter et connaître la rançon demandée, mais Guillevin n’a même pas communiqué avec eux. 

« C’est hors de question pour nous de supporter une organisation criminelle », insiste le patron.

L’attaque portait la signature de la plateforme Maze. Depuis l’automne 2019, ses mystérieux utilisateurs ont transformé le rançongiciel en une véritable industrie. Leur recette : publier les données volées aux victimes qui refusent de les payer.

En tout, Maze a ciblé 328 organisations, selon le décompte de Damien Bancal, chef de la cyberintelligence chez 8Brains.

Le gang a annoncé fin octobre qu’il cesse ses opérations, mais d’autres sont apparus, qui imitent sa stratégie.

• Écoutez la chronique de Félix Séguin au micro de Richard Martineau sur QUB radio:

Retour aux commandes papier

Guillevin a passé 12 jours à remonter son réseau, en fonctionnant pratiquement sans ordinateurs, raconte Luc Rodier. Son personnel a dû commander des calepins de commande en papier, comme dans les années 1980.

« On a assumé et agi comme s’il y avait de l’information sensible qui avait été publiée », dit-il. En ligne, notre Bureau d’enquête a trouvé surtout des données commerciales. Rien d’anodin, assure le PDG. 

« Il y a de l’information sensible sur nos produits, certaines ententes commerciales... »

Luc Rodier s’est senti bien seul. 

« Ce sont de grands groupes criminels mondiaux, dit-il. Les corps policiers ne savent pas quoi faire avec ça. »

À défaut de meilleure solution, il mise sur la transparence. 

« C’est un fléau. Plus les gens vont être au courant que ça existe, mieux on se porte comme société. »

Longue liste de victimes  

Des dizaines d’organisations publiques et privées ont été victimes de rançongiciels au cours de la dernière année.

STM

En octobre, la Société de transport de Montréal a mis près de deux semaines à se remettre d’une attaque perpétrée à l’aide d’un programme basé sur le rançongiciel RansomExx.

Wendake

La Nation huronne-wendate a subi une cyberattaque du gang Conti, qui a mis en ligne des dossiers d’élèves d’un centre de formation.

Ministère de la Justice du Québec

Des pirates ont réussi à voler des courriels au ministère et à envoyer des maliciels à des citoyens l’ayant contacté, à l’aide du cheval de Troie Emotet.

Revenu Canada

Des fraudeurs ont attaqué les dossiers en ligne de contribuables et obtenu les mots de passe de 9041 utilisateurs en août.

Inonotech-Execaire

La firme d’entretien d’aéronefs---- a été attaquée fin mars par le gang Maze, qui a publié les données volées en ligne.

Dans la Rue

Des pirates ont utilisé le maliciel d’origine russe Zeppelin pour attaquer l’organisme d’aide aux sans-abri, qui a payé une rançon.

CIUSSS Centre-Ouest-de-l’Île-de-Montréal 

Fin octobre, le CIUSSS a coupé ses accès à internet après une attaque, qui coïncidait avec une vague de cyberpiratages d’hôpitaux américains au rançongiciel Ryuk, d’origine russe.

Groupe de santé Medisys

Cette filiale de Telus a payé une rançon pour récupérer des données personnelles sur 60 000 clients, dont des policiers.

Technologies Xpertdoc inc.

La firme informatique a payé une rançon après une cyberattaque le 1er septembre pour faire détruire des données sur des policiers.

CPA Canada

Des informations sur 134 079 personnes issues de la base de données de l’association professionnelle des comptables se sont retrouvées sur des sites de pirates russes.

Bazinet-Taylor

En juillet, le distributeur d’équipements pour restaurants a lui aussi subi l’attaque de Maze, qui a publié ses documents bancaires. 

Ville de Châteauguay

En mars, des pirates ont utilisé le rançon-giciel Ryuk pour paralyser son réseau.

 

REF.:

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke

 

 

 

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke pour mener une attaque au rançongiciel et lui dérober 91 250$ US.

• À lire aussi: Leurs données commerciales publiées en ligne

• À lire aussi: Une vraie épidémie

Le matin du 23 octobre, le gérant des Équipements Marquis, Christian Corriveau, a eu la mauvaise surprise de trouver son réseau hors service. Rien de plus louche: nouveaux comptes d’utilisateurs apparus, mots de passe changés... Manifestement l’œuvre de pirates.

«À l’imprimante, j’ai vu qu’il y avait un paquet de feuilles», relate-t-il. Les hackers avaient fait sortir les instructions pour les contacter. L’attaque est l’œuvre du dernier-né des rançongiciels: Egregor. 

«Il y a eu un sentiment de panique partout, rapporte le président de l’entreprise, Jean-Guy Marquis. On a changé le serveur, changé les ordinateurs... Pendant ce temps-là, le commerce, il faut qu’il roule!»

Pas question de payer la rançon à ces criminels. 

«Le rançongiciel, c’est une mafia qui s’est montée», dénonce-t-il.

De toute façon, l'entreprise avait de bonnes sauvegardes et aucune information n’a été perdue. Elle était tout de même loin d’être au bout de ses peines.     

• Écoutez le président de l'entreprise, Jean-Guy Marquis, ainsi que Damien Bancal, expert en cybersécurité, sur QUB radio:    

Détournement de fonds

Quatre jours plus tard, Équipements Marquis avait un virement électronique de 91 250$ US à faire, soit près de 120 000$ CA.

Pendant la transaction, la secrétaire a reçu un appel qui semblait provenir de la Banque Royale, relate le patron. «Le gars lui a dit, en anglais: “Attends un peu, on a un problème.”»

C’est à ce moment-là que l’ordinateur a gelé et que l’entreprise a compris qu’elle venait de se faire avoir. «On a averti la banque tout de suite», assure Jean-Guy Marquis, qui a aussi fait déconnecter tout le réseau.

De toute évidence, l’appel ne provenait pas de la banque, mais d’un criminel qui a utilisé une application pour afficher un numéro différent du sien.

«Ça sous-entend que la machine était surveillée par des pirates», dit Damien Bancal, chef de la cyberintelligence chez 8Brains. Toujours connectés, ils attendaient l’occasion de s’en mettre plein les poches depuis cinq jours.

Jean-Guy Marquis a pris des avocats pour tenter de se faire rembourser. La Banque Royale soutient toutefois qu’elle n’est pas responsable de sa perte, dit-il.

En attendant, l’argent est bloqué dans un compte de la Chase Manhattan Bank à New York.   

• Écoutez la chronique de Félix Séguin au micro de Richard Martineau, sur QUB radio:   

Un gang en expansion

Notre Bureau d’enquête a pu consulter en ligne les renseignements que les cyberpirates ont volés aux Équipements Marquis. Ils contiennent notamment des données permettant de se connecter au compte de l’entreprise qu’ils ont ciblé.

Les malfaiteurs ont utilisé Egregor, un tout nouveau rançongiciel mentionné pour la première fois en septembre dernier sur les sites spécialisés. Les cybercriminels peuvent le louer pour monter leurs propres attaques.

« Leurs chiffres explosent, c’est assez fou », dit Damien Bancal, qui a aidé notre Bureau d’enquête à repérer les données volées aux Équipements Marquis sur le web caché (dark web). Selon sa compilation, Egregor a déjà fait 111 victimes dans le monde depuis septembre.

 

REF.:

Une cyberattaque paralyse une usine de Terrebonne et un Le transporteur routier est durement frappé

  Une cyberattaque paralyse une usine de Terrebonne et un  Le transporteur routier est durement frappé

Une cyberattaque paralyse une usine de Terrebonne

La compagnie fait partie des clients d’une firme informatique piratée

 

Des cybercriminels ont réussi à dérégler les machines d’une usine de pièces de béton de Terrebonne et à lui faire perdre 250 000$.

• À lire aussi: Fraudés de 120 000$ après une cyberattaque

• À lire aussi: Leurs données commerciales publiées en ligne

Chez Rinox inc., les ordinateurs que les pirates ont cryptés contrôlaient notamment des caméras de production et des malaxeurs.

«Nos machines sont toutes automatisées, dit Bobby Correia, vice-président de la compagnie de Terrebonne. Elles se dérèglent, mais avant que quelqu’un s’en aperçoive, ç’a pris un certain temps.»

Pendant l’arrêt de production, du ciment a séché dans certains équipements. «Il a fallu tout briser ça à bras, ça a pris toute une journée avec une équipe de 12», raconte-t-il.

Fournisseur attaqué

Les malfaiteurs ont profité de vulnérabilités chez le fournisseur de services informatiques de Rinox, HelpOX inc. Cette entreprise de Mascouche offre notamment des services d’hébergement de réseaux et de soutien technique aux PME.

Le groupe qui l’a attaquée, Sodinokibi, aurait utilisé le logiciel ConnectWise. Les techniciens de HelpOX se servaient de ce programme pour se brancher à distance aux ordinateurs des clients.

Le président de HelpOX, Éric Bigras, confirme qu’un rançongiciel a ciblé sa firme en juillet, sans donner de détails.

«Heureusement, nos opérations ont été restaurées en 30 minutes après avoir découvert l’incident, affirme-t-il. Notre enquête nous a confirmé qu’aucune donnée d’entreprises ou personnelle n'ont été exfiltrée ou accédée [sic].»

Laissés dans le noir

HelpOX a cependant tardé à informer ses clients, selon Bobby Correia.

«Le jour de l’attaque, on appelait chez HelpOX constamment et ils ne répondaient pas.» En après-midi, la compagnie disait seulement éprouver un «problème technique», raconte-t-il.

Rinox a donc embauché un autre consultant en informatique, qui a lui-même contacté les pirates à l’aide d’instructions laissées sur les ordinateurs de l’entreprise.

1,4 M$ US demandé

Selon une conversation avec les hackers que notre Bureau d’enquête a pu consulter, ils ont demandé 1,4 M$ US pour envoyer une clé virtuelle permettant de décrypter les fichiers des clients de HelpOX.

L’entreprise a mis deux jours à reconnaître que des pirates l’avaient attaquée, selon Bobby Correia. Trois jours plus tard, elle obtenait une clé de décryptage. 

Mais les données étaient abîmées et HelpOX n’avait plus aucune sauvegarde. La comptabilité et les données de production étaient perdues. «On a dû ressortir nos copies papier sur plus de trois mois, en pleine pandémie», dit Bobby Correia.

Le président de HelpOX nous avait conviés à une vidéoconférence pour répondre à nos questions, mais il l’a annulée à cause d’«un événement hors de [son] contrôle», dit-il.

Par courriel, Éric Bigras assure avoir envoyé «des mises à jour régulières» à ses clients. «Nous sommes bien désolés que cette situation s’est produite [sic]. C’était loin d’une situation idéale», reconnaît-il sans préciser s’il a payé une rançon pour récupérer des données.

Plusieurs autres clients de HelpOX ont fait les frais de l’attaque, dont le Club de golf Le Mirage inc., que Céline Dion vient de vendre à Mario Messier, Serge Savard et José Téodore.

Contacté par notre Bureau d’enquête, le directeur général au moment de l’attaque en juillet, René Noël, n’a pas voulu décrire les dommages qu’a subis la compagnie, prétextant avoir signé des accords de confidentialité.

Le réseau du producteur de patates Maison Russet inc. est lui aussi tombé en panne pendant plusieurs jours à cause de l’attaque.

Le transport routier est durement frappé  

TFI INTERNATIONAL  

Pirates: DopplePaymer

Informations sensibles retrouvées en ligne:    

• Données concurrentielles sur les contrats de l’entreprise    
• Documents confidentiels de clients    
• Documents de comptabilité interne        

Une cyberattaque sur la filiale de livraison de colis Canpar Express a coûté pas moins de 8 M$ à TFI International, une compagnie de camionnage dont la famille Saputo est un important actionnaire.

C’est ce que mentionnait le dernier rapport de gestion de l’entreprise, publié le 30 septembre.

Notre Bureau d’enquête a retrouvé les 1053 documents provenant des serveurs de Canpar que les pirates ont diffusés sur le web caché (dark web) fin août.

Les fichiers contiennent une importante quantité de renseignements sur les contrats et les clients de l'entreprise.

Les cybercriminels promettaient l’été dernier de diffuser «tous les jours quelques fichiers» dérobés à l’entreprise.

Un relationniste américain sous contrat avec l’entreprise montréalaise a refusé de répondre à nos questions. «Ils ne parlent pas à la presse, dit Vance Edelson en anglais. Ils préfèrent se concentrer sur la gestion de l’entreprise.» 

Fuel Transport  

Pirates: Maze

Informations sensibles retrouvées en ligne:    

• Rapports d’accident de chauffeurs de camion   
• Documents de litiges avec des clients        

L’entreprise de transport routier de Montréal a subi une attaque du groupe de pirates Maze en août. Le président Robert Piccioni n’a pas souhaité donner de détails sur l’attaque.

«Pour éviter que ça arrive à d’autres, c’est bon de partager les informations, mais je suis un peu embarrassé de ce qui m’est arrivé.» 

L’information que le groupe a publiée comprend des centaines de documents et de rapports sur des accidents ayant impliqué les chauffeurs et des réclamations pour de la marchandise endommagée.

Ces documents contiennent des données personnelles de plusieurs employés de Fuel Transport.

Quand notre Bureau d’enquête a évoqué les informations volées à Fuel qui se trouvent toujours en ligne, Robert Piccioni a raccroché le téléphone. 

REF.:

 

 

Comment supprimer Sodinokibi Ransomware et décrypter vos fichiers

 

Infectés par le Sodinokibi Ransomware? Avez-vous besoin de décrypter vos fichiers?

Qu'est-ce que Sodinokibi Ransomware

Sodinokibi est un développeur de cryptovirus dont cette cible cryptovirus utilisateurs anglophones, cependant, il a déjà étendu à tous les points du globe. Beaucoup d'autres, il crypte les données utilisateur et nécessite une rançon de 0.475 àjusqu'à 0.950 bitcoins. En plus, contrairement aux virus similaires, il attribue une extension qui peut changer en permanence . Voici quelques exemples d'extensions: fgcxh, ouivk, fdseaq etc.. Il crée un fichier spécial qui contient les exigences des attaquants d'extension personnels -readme.txt, que le virus a affecté à vos fichiers.

Hello dear friend!
Your files are encrypted, and, as result you can't use it. You must visit our page to get instructions about decryption process.
All encrypted files have got hg6u62 extension.
Instructions into the TOR network
-----------------------------
Install TOR browser from https://torproject.org/
Visit the following link: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/C2D97495C4BA3647
Instructions into WWW (The following link can not be in work state, if true, use TOR above):
-----------------------------
Visit the following link: http://decryptor.top/C2D97495C4BA3647
Page will ask you for the key, here it is:
fCxNid7JbKZd9ygwzDQS0s4vyyzP0uddSzGkLCH0ajRr9Pv7DLm6uqiCVxjbmyW/
CD5hLRwBFLdrfGqex0ghdS90qGRf5tlNOz9JtChkGYeGvCjo+ITexCSkEXPIxnhL

Les pirates utilisent leur stratégie préférée en utilisant le navigateur Tor. Cela permet aux pirates d'éviter en suivant la loi, car grâce à ce navigateur, ils ne laissent pas de traces. Il est nécessaire de payer la rançon, dont la taille nous l'avons indiqué ci-dessus. Bien sûr, nous ne vous recommandons pas de payer, car il n'y a aucune garantie que les intrus chiffrent réellement vos fichiers transformés en leur aspect d'origine. il n'y a aucune possibilité d'auto-décryptage des fichiers.

mettre à jour: Utilisez service suivant pour identifier version et type de ransomware qui vous a attaqué: ID Ransomware. Si vous voulez décrypter vos fichiers, s'il vous plaît suivez nos instructions ci-dessous ou, si vous avez des difficultés, contactez nous s'il vous plait: submit@securitystronghold.com. Nous pouvons vraiment aider à décrypter vos fichiers.

Comment Sodinokibi Ransomware infecté votre PC

Sur la base de nos données, de nombreux virus crypto, en particulier, Sodinokibi, viennent à l'ordinateur via les paramètres réseau des utilisateurs non protégés. Cela se produit parce que les utilisateurs utilisent des versions gratuites de ou anti-virus n'utilisent pas du tout anti-virus. C'est une erreur. Il peut également venir comme une mise à jour faux pour les services publics ou une pièce jointe à une liste de diffusion de spam. Vous devez être extrêmement attentif. Utilisez anti-virus pour empêcher la pénétration de ces virus, car il est beaucoup plus facile que faire face à une cryptovirus qui a déjà pénétré votre ordinateur et crypté vos fichiers. Ci-dessous, nous fournissons des instructions pour enlever Sodinokibi Ransomware et Déchiffrer vos fichiers.

Tout d'abord, ne pas paniquer. Suivez ces étapes simples ci-dessous.

1. Démarrez votre ordinateur en Mode sans échec avec prise en charge réseau. Pour faire ça, redémarrez votre ordinateur avant que votre système commence à frapper F8 à plusieurs reprises. Cela Sodinokibi système Ransomware de chargement et affichera options de démarrage avancées écran. Choisissez Mode sans échec avec prise en charge réseau dans liste des options à l'aide flèches haut et bas sur votre clavier et frappez Entrée.
2. Se connecter au système infecté par le virus Ransomware Sodinokibi. Lancez votre navigateuret téléchargez un programme contre les logiciels malveillants fiable et lancer l'analyse complète du système. Lorsque l'analyse terminée, reconsidérez les résultats d'analyse et supprimez toutes les entrées détectées.

Solution Recommandée:

Wipersoft - supprime complètement toutes les instances de Sodinokibi Ransomware - fichiers, dossiers, clés de registre.

 

Télécharger Norton

Vous trouverez des informations plus détaillées sur les produits antivirus dans notre article - Top 5 Logiciel antivirus pour Windows

Restaurez vos fichiers à l'aide des copies d'ombre

1. Téléchargez et exécutez Stellar Data Recovery.
2. Sélectionnez le type de fichiers que vous souhaitez restaurer et cliquez sur Suivant/Next.
3. Sélectionnez le lecteur et le dossier où vos fichiers sont situés et la date que vous souhaitez les restaurer à partir et appuyez sur Scanner.
4. Une fois que le processus de numérisation est fait, cliquez Récupérer pour restaurer vos fichiers.

Télécharger Stellar Data Recovery

Étape 2: Retirez suivant les fichiers et dossiers de Sodinokibi Ransomware:

Connexions connexes ou d'autres entrées:

No information

Fichiers connexes:

No information

Comment décrypter les fichiers infectés par Sodinokibi Ransomware?

Vous pouvez essayer d'utiliser des méthodes manuelles pour restaurer et décrypter vos fichiers.

Décrypter les fichiers manuellement

Restaurer le système en utilisant Restauration du système

Bien que les dernières versions de Sodinokibi Ransomware supprimer les fichiers de restauration du système, cette méthode peut vous aider à restaurer partiellement vos fichiers. Essayez et utilisez le système de restauration standard pour relancer vos données.

1. Lancez la recherche ‘restauration du système‘
2. Cliquez sur le résultat
3. Choisissez date avant l'apparition d'infection
4. Suivez instructions à l'écran

Rouler les fichiers à la version précédente

Versions précédentes peuvent être des copies de fichiers et dossiers créés par Restauration de Windows (s'il est actif) ou copies de fichiers et dossiers créés par Restauration du système. Vous pouvez utiliser cette fonction pour restaurer les fichiers et dossiers que vous avez accidentellement modifiés ou supprimés, ou qui ont été endommagés. Cette fonctionnalité est disponible dans Windows 7 et dans versions ultérieures.

1. Cliquez droit sur le fichier et choisissez Propriétés
2. Ouvrez La version précédente languette
3. Sélectionnez dernière version et cliquez sur Copier
4. Cliquez Restaurer

Écrit par Rami Duafi

 

REF.: