Attaque de pipeline : Colonial Pipeline confirme avoir payé 4,4 millions de dollars de rançon

Attaque de pipeline : Colonial Pipeline confirme avoir payé 4,4 millions de dollars de rançon

Si les responsables des agences de cybersécurité, en France comme à l’étranger, recommandent aux victimes de ransomware de ne pas céder au chantage, ce n’est pas toujours simple de suivre ce conseil dans la pratique.

Preuve en est l’amer retour d’expérience de l’opérateur américain d’oléoducs Colonial Pipeline. Il a indiqué hier mercredi avoir versé une rançon de 4,4 millions de dollars aux hackers. Ces pirates avaient paralysé l’oléoduc à partir du 7 mai.

Celle-ci a contraint l’opérateur, dont le réseau comprend plus de 8.800 kilomètres de pipelines transportant du carburant, à suspendre l’ensemble de ses opérations, ce qui n’était jamais arrivé auparavant. Samedi dernier, Colonial Pipeline a annoncé un retour à la normale de ses opérations.

publicité

« J’admets que je n’étais pas à l’aise avec le fait de voir de l’argent s’évaporer et aller vers de telles personnes »

« Je sais que c’était une décision très controversée (…) J’admets que je n’étais pas à l’aise avec le fait de voir de l’argent s’évaporer et aller vers de telles personnes », a déclaré le responsable de l’entreprise, Joseph Blount. « Mais c’était la bonne chose à faire pour le pays », a-t-il dit au WSJ.

Jusqu’alors Colonial Pipeline n’avait pas confirmé cette information, déjà évoquée par voie de presse. Le dirigeant de Colonial Pipeline, à la tête de l’entreprise depuis 2017, estime qu’il s’agissait du moyen le plus efficace pour faire redémarrer ses opérations.

Colonial Pipeline transporte près de la moitié des produits pétroliers américains depuis le Golfe du Mexique vers la côte est des Etats-Unis.

DarkSide est une entreprise de ransomware-as-a-service (RaaS)

Selon le FBI, le groupe de ransomware DarkSide est responsable de cette attaque : « le FBI confirme que le groupe Darkside est responsable de la compromission des réseaux de Colonial Pipeline. Nous continuons à travailler avec l’entreprise et nos partenaires gouvernementaux sur l’enquête ».

DarkSide est une entreprise de ransomware-as-a-service (RaaS), qui fournit des ransomwares aux affiliés de son réseau en échange d’une part des profits réalisés par l’extorsion des organisations victimes.

Les affiliés de DarkSide utilisent une tactique de double extorsion : l’organisation victime de la cyberattaque reçoit dans un premier temps une demande de rançon, en échange d’une clé de décryptage permettant de déverrouiller les systèmes infectés par le ransomware. Mais, si elle refuse, les cyberattaquants menacent alors de rendre publique des données confidentielles volées lors de la cyberattaque sur un “leak site”.

Et les outils du groupe restent très utilisés. Toshiba Tec Corp a annoncé vendredi dernier avoir été frappée par une cyberattaque qui a touché certaines régions d’Europe. La cyberattaque serait également l’œuvre du groupe DarkSide. La filiale française de l’entreprise semble entre autre avoir été visée.

Leave a Reply

Your email address will not be published. Required fields are marked *