Une rançon de 1,14 M$ réglée par l'UCSF pour récupérer ses données
Piégée début juin par le rançongiciel Netwalker, l'Université de San Francisco a accepté de verser 116,4 bitcoins à un groupe de cybercriminels pour recouvrer les données chiffrées relatives à son école de médecine.
Dans le cadre de la lutte contre les ransomwares, l'une des premières règles est de ne jamais payer de rançon. Pour deux raisons : ne pas conforter les pirates dans leurs actions et aussi parce qu'il n'existe aucune garantie de retrouver les données volées. Pourtant, certains organismes acculés sont prêts à prendre ce risque comme cela a été le cas avec l'Université de San Francisco. Frappée le 1er juin par le rançongiciel Netwalker, cette dernière a en effet accepté de verser 116,4 bitcoins, soit l'équivalent d'un peu plus de 1,14 million de dollars, pour recouvrer les données chiffrées relatives à son école de médecine suite à la compromission de certains serveurs.
« Nous avons mis en quarantaine plusieurs systèmes informatiques au sein de l'Ecole de médecine par mesure de sécurité, et nous avons réussi à isoler l'incident du coeur du réseau UCSF. Surtout, cet incident n'a pas affecté nos opérations de prestations de soins aux patients, le réseau global du campus ou le travail autour de la Covid-19 », a précisé l'Université de San Francisco dans un communiqué. « Les données qui ont été cryptées sont importantes pour une partie du travail académique que nous poursuivons en tant qu'université au service du bien public. Nous avons donc pris la décision difficile de payer une partie de la rançon, environ 1,14 million de dollars, aux individus derrière l'attaque de malware en échange d'un outil pour déverrouiller les données cryptées et le retour des données qu'ils ont obtenues. »
Une cyberattaque qualifiée d'opportuniste
D'après l'enquête menée par l'Université de San Francisco, qui a travaillé avec un cabinet de conseil en cybersécurité et d'autres experts extérieurs, cet incident est qualifié d'opportuniste, sans ciblage particulier. A date, l'établissement ne pense pas que des données patients ont pu être exposées et indique que des précisions supplémentaires seront apportées ultérieurement.