AccueilActualités informatiqueComment un ransomware a paralysé l'administration d'une ville pendant plusieurs jours

Comment un ransomware a paralysé l’administration d’une ville pendant plusieurs jours

Table des matières

Une attaque par ransomware ayant de graves conséquences pour une ville était au centre du panel « Cyber extorsion d’entreprise – Elle peut frapper n’importe qui ! » lors de la 4e conférence annuelle sur la cybersécurité de la Commission européenne. Temps. Les participants ont décrit le déroulement et les effets graves et ont tiré des leçons pour les futures victimes d’une attaque de grande envergure.

Le 6 septembre 2019, un employé informatique de l’administration municipale de Neustadt am Rübenberge, en Basse-Saxe, a remarqué une charge extrême des serveurs dans le centre de données municipal. Une demi-année plus tôt, le cheval de Troie Trickbot avait déjà infecté le système informatique et s’était progressivement frayé un chemin jusqu’à différents niveaux et avait envoyé des signaux. Un ransomware a crypté à tous les niveaux, de sorte que les serveurs ont été pleinement utilisés.

« Dans la première phase, c’était encore relativement détendu après que nous ayons vérifié que toutes les sauvegardes fonctionnaient. Mais nous avons ensuite réalisé que plusieurs zones étaient également cryptées. Nous avons décidé de bloquer tous les comptes, d’informer toutes les parties externes et de nous déconnecter de tout le réseau. Nous avons ensuite appelé les spécialistes de la cybercriminalité du LKA, qui sont également intervenus très rapidement », rapporte Maic Schillack, premier conseiller municipal et responsable informatique de Neustadt.

« La LKA a donné des conseils sur la manière dont les mesures médico-légales devaient être effectuées. Ils ont été réalisés de manière à ne pas perturber davantage les opérations de service du service public. Le fait de contacter la LKA à un stade précoce a permis d’avoir un aperçu rapide de la situation », a déclaré Heiko Löhr, chef de groupe de la stratégie et du service au département de la cybercriminalité de l’Office fédéral de police criminelle.

Le conseiller Schillack a décrit les nouvelles mesures prises par l’administration. Elle a d’abord vérifié si les systèmes vitaux tels que les égouts, les stations d’épuration, la circulation et les systèmes de fermeture des écoles, par exemple, étaient touchés. Ce n’était pas le cas. Il s’agissait ensuite de savoir si l’aide sociale et les salaires pouvaient continuer à être payés par la ville.

« Nous avons rapidement décidé de reconstruire l’ensemble du réseau. C’est une question énorme, qui nécessite beaucoup de personnel. Entre-temps, nous avons eu jusqu’à 40 informaticiens ici, qui se sont occupés du matériel du nouveau réseau et ont démarré les postes de travail individuels », a-t-il déclaré.

Entre-temps, les postes de travail de l’administration ont été confiés aux municipalités voisines et au centre informatique de la ville. « Beaucoup de choses ont été accueillies. Cela a bien fonctionné. Finalement, nous avons repris les activités de base assez rapidement. Il a fallu cinq jours car, pour autant que je sache, avec des virus relativement nouveaux, même les spécialistes ont besoin de ce temps pour reconnaître le virus et lancer la contre-programmation. D’après mon expérience, ça ne peut pas être plus rapide que ça. »

Plus d'articles