Le ransomware DarkSide suspecté d'être à l'origine de l'attaque de Colonial Pipeline

10 mai 2021 à 19h52
2
Colonial Pipeline © © Colonial Pipeline
© Colonial Pipeline

L'un des géants américains d'oléoducs, Colonial Pipeline, a été victime d'un ransomware vendredi connu sous le nom de « DarkSide ». Ce dernier, relativement récent, serait spécialisé dans la pratique de la double extorsion. Mais il respecterait surtout plusieurs principes.

La société Colonia Pipeline, qui livre son carburant de Houston (Texas) au port de New York, en passant par la Louisiane, l'Alabama ou encore le Tennessee, a constaté être victime d'un ransomware le vendredi 7 mai. L'un des principaux opérateurs d'oléoducs des États-Unis a rapidement mis hors ligne certains systèmes critiques pour contenir la menace, avant de relancer une partie de son réseau ce dimanche. En ce début de semaine, les informations affluent et selon plusieurs experts cyber, l'attaque proviendrait du groupe DarkSide, aux activités tout à fait paradoxales. Au-delà de cette seule attaque, on peut aussi y voir un virage de la « grande cybercriminalité », qui sait plus que jamais où sont ses priorités.

Le groupe assaillant supposé rapidement identifié

Durant de longues heures ce week-end, Colonial Pipeline a dû interrompre toutes ses opérations de distribution de fioul, diesel, gaz naturel et essence. Pendant ce temps, l'entreprise a fait intervenir des experts en cybersécurité extérieurs à celle-ci, qui ont lancé une enquête sur la nature et la portée de l'incident. Le tout, en restant en contact avec les autorités fédérales américaines, dont le département de l'Énergie.

Dimanche soir, si les quatre lignes principales de l'opérateur restaient coupées, certaines lignes latérales, plus petites, étaient désormais opérationnelles, pour relancer la connexion entre les terminaux et les points de livraison. « À l'heure actuelle, notre objectif principal continue d'être la restauration sûre et efficace du service de notre réseau de pipelines, tout en minimisant les perturbations pour nos clients et tous ceux qui comptent sur Colonial Pipeline », indiquait la firme il y a quelques heures. Désormais, elle œuvre activement sur un plan de redémarrage, destiné à relancer les lignes principales.

On en sait désormais plus sur l'attaque. Plusieurs sources américaines s'accordent autour d'un nom, en ce qui concerne l'auteur des faits. Le groupe DarkSide serait en effet à l'origine de la cyberattaque de ransomware. Il serait connu comme étant issu d'une source de rançongiciel assez récente, puisque sa première apparition remonterait au mois d'août 2020, selon Assaf Dahan, Directeur de l'équipe de recherches Nocturnus de Cybereason.

Un groupe qui s'est très vite professionnalisé

Le groupe DarkSide est réputé pour s'être très vite professionnalisé et organisé. Il aurait d'ailleurs déjà généré des millions de dollars de profits. « Notre équipe de recherche Cybereason Nocturnus évalue le niveau de menace du groupe DarkSide comme élevé étant donné le potentiel destructeur de ses attaques », précise Assaf Dahan. Une infection par DarkSide peut être suivie d'une demande de rançon pouvant aller de 200 000 à 2 millions de dollars. On imagine que dans le cas de Colonial Pipeline, celle-ci pourrait être encore plus élevée.

Adepte de la double extorsion (exfiltration des données puis menace de les rendre publiques), le groupe DarkSide opère en tentant de s'infiltrer dans le réseau de l'entreprise, avec le but de compromettre le contrôleur du domaine, « le centre névralgique du réseau », note Assaf Dahan. Ensuite, les cybercriminels se déplacent de façon latérale dans le réseau, « avant de déclencher leur charge et générer l'impact le plus large possible ».

Ce qui étonne, dans le bon sens du terme, c'est que DarkSide aurait adopté une sorte de code de conduite qui lui interdirait de mener des attaques contre des hôpitaux, universités, écoles, agences gouvernementales et organisations à but non lucratif.

DarkSide, du bon côté de la force ?

DarkSide préfère se concentrer sur des infrastructures nationales qui peuvent aussi bien être des cibles faciles que de gros portefeuilles. « Une société comme Colonial Pipeline sera potentiellement plus encline à payer pour éviter d’énormes pertes financières liées à une longue coupure d’activité », explique Grant Geyer, Directeur des produits de Claroty, entreprise spécialisée dans la cybersécurité des systèmes industriels. « Les environnements industriels fonctionnent avec des infrastructures qui utilisent généralement des technologies obsolètes qui ne peuvent pas être corrigées, et avec un personnel qui n'est souvent pas aussi compétent en matière de cybercriminalité qu'il devrait l'être pour tenir les attaquants à distance. Il en résulte une situation dans laquelle les niveaux de risque de cybersécurité sont inférieurs aux seuils de tolérance acceptables et, dans certains cas, les organisations ne sont pas conscientes du risque », ajoute l'expert.

Grant Geyer va même plus loin en indiquant que le secteur de l'énergie est aujourd'hui l'un des plus exposés et touchés par les vulnérabilités dites « ICS » (systèmes de contrôle industriel). En deux ans, les vulnérabilités ont cru de 74 %. « Cette cyberattaque contre Colonial Pipeline n'est qu'un aperçu de ce à quoi vont ressembler les cyberattaques à l'avenir », prédit-il.

Mais DarkSide s'est récemment distingué "en proposant un don à plusieurs organisations caritatives, environ 20 000 dollars en bitcoins, mais celles-ci ont évidemment refusé en raison de la provenance des fonds", nous apprend Assaf Dahan.

Ce qui est certain désormais, c'est que les attaquants sont tournés vers des entités à risque, qui privilégient davantage la facilité d'un accès à distance (et donc une facilité opérationnelle) à la sécurité, pourtant essentielle au maintien de service. Cela vient aider les cybercriminels à se frayer un chemin dans les défenses les moins robustes.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
Peter_Vilmen
Les fans de cryptos nous diront qu’il est évident que les pirates ont demandé un virement sur le compte bancaire HSBC de la grand-mère d’un des attaquants, ou encore une malette remplie de billets à déposer au milieu du désert, ou peut-être cinq Range Rover Evoque à livrer à leur domicile, n’est-ce pas ?<br /> Il faut rendre à César ce qui appartient à César, les dégats causés par les ransomwares doivent être soustraits au solde des bénéfices qu’offrent les cryptos en leur qualité actuelle. M’enfin, autant parler à un mur, dès qu’une personne possède quelques $ en cryptos, c’est plus une poutre qu’il faut déjouer mais une prison haute sécurité avec des gardes cyborgs munis de railguns.
dFxed
Je comprends votre propos, mais je pense qu’il est mal dirigé. N’importe quelle organisation terroriste utilise une monnaie pour se financer, virtuelle ou pas.<br /> Est-ce que les cryptos sont utilisées par des criminels ? Oui, comme n’importe quelle autre monnaie. Cela n’en fait pas pour autant un instrument du diable.<br /> Et ça, sans parler des criminels en col blanc, qui volent aux travailleurs leur dû… en toute légalité.
Peter_Vilmen
@dFxed l’erreur ici est de placer les cryptos au même niveau que les autres monnaies, je vais essayer d’être succint pour éviter d’endormir :<br /> Argent liquide (inclut «&nbsp;Autres&nbsp;») :<br /> Risqué à utiliser pour biens/services illégaux (contact direct/indirect)<br /> Lent à distance<br /> De plus en plus difficilé à blanchir grâce aux banques et états<br /> Difficile à contrôler, facile à cacher, mais les forces de l’ordre peuvent généralement retrouver l’argent s’ils le veulent<br /> Système bancaire :<br /> Très risqué à utiliser pour les biens/services illégaux<br /> Instantané<br /> Presque impossible à blanchir car laisse des traces numériques traçables<br /> Contrôlé par les états &amp; banques, de plus en plus difficile à cacher, peut être saisis facilement<br /> Cryptos :<br /> Extrêmement facile d’utilisation pour acheter des biens/services illégaux<br /> Instantané<br /> Extrêment facile à blanchir<br /> Extrêment difficile à contrôler (1 seconde pour créer une addresse anonyme)<br /> Les cryptos ne sont pas juste une autre monnaie, les cryptos sont une révolution technologique pour tous les criminels, c’est le paiement rêvé et parfait du criminel. Les gens qui parlent de banques qui aident les criminels, de gangsters qui usent du cash, … ils nient sciemment l’évidence qui est purement logique/mathématique.
Voir tous les messages sur le forum

Derniers actualités

Avec sa RTX 3060, ce PC gamer Dell voit son prix chuter de plus de 200€ !
Un prototype de GeForce GTX 2080 avec ray tracing déterré sur Reddit
96 cœurs Zen 4 : l'imposant processeur EPYC 9654 d'AMD s'illustre
Le Google Pixel 6a a une dalle 90 Hz, et vous pouvez la débloquer vous-même (même si ce n'est pas recommandé)
Razer annonce sa DeathAdder V3 Pro : une souris gamer ultra légère
Craquez pour une de ces solutions VPN à prix vraiment mini !
L’incendie en cours en Gironde est visible depuis l’espace
Pour le monde du GPU, la fête est finie : vers une baisse spectaculaire des ventes
Des nouveautés pour vos montres sous Wear OS, dont la possibilité d'utiliser Google Maps en mode hors ligne
Prix incroyable pour cette TV de 65
Haut de page