Le groupe Darkside désigné responsable de l’attaque Colonial Pipeline

Spread the love
Le groupe Darkside désigné responsable de l'attaque Colonial Pipeline

Le FBI a déclaré le 10 mai que l’agence travaille avec Colonial Pipeline pour enquêter sur l’attaque au ransomware qui paralyse les services de l’oléoduc américain depuis vendredi.

Selon Bloomberg, une opération menée en coopération entre plusieurs agences américaines et acteurs privés a permis de bloquer l’exfiltration de données volées à l’entreprise victime. Les attaquants étaient parvenu à dérober plus de 100go de données appartenant à Colonial Pipelines, mais celles ci ont pu être interceptées par les forces de l’ordre dans la journée du samedi 8 mai.

Les autorités américaines ont procédé ce jour là à une saisie de serveurs utilisés par les attaquants, qui leur a permis de récupérer les données avant que celles ci ne soient exfiltrées vers l’étranger et donc hors d’atteinte. Les données devaient être envoyées vers des serveurs basés en Russie.

Le président américain Joe Biden n’a pas accusé le gouvernement russe mais a indiqué que des preuves montraient que le groupe à l’origine de l’attaque était basé en Russie.

publicité

Le coté obscur à la manœuvre

Selon le FBI, le groupe DarkSide ransomware est responsable de cette attaque.

“Le FBI confirme que le groupe Darkside est responsable de la compromission des réseaux de Colonial Pipeline”, a déclaré l’agence. “Nous continuons à travailler avec l’entreprise et nos partenaires gouvernementaux sur l’enquête.”

DarkSide est un groupe actif depuis l’été 2020. Les logiciels malveillants de DarkSide sont proposés sur un modèle Ransomware-as-a-Service (RaaS), et une fois qu’un système a été compromis, les demandes de rançons peuvent aller de 200 000 à 2 000 000 $.

Le groupe a déjà employé des méthodes de chasse au “gros gibier”, dans lesquelles de grandes organisations sont visées, ce qui correspond à l’incident de Colonial Pipeline.

D’autres organisations cybercriminelles suivent la même voie, notamment les opérateurs de Hades ransomware, qui semblent cibler spécifiquement les entreprises dont le chiffre d’affaires annuel est d’au moins 1 milliard de dollars.

DarkSide 2.0, la dernière version du ransomware, a récemment été utilisé par les nouveaux affiliés du groupe.

DarkSide a également recours à des tactiques de double extorsion – à l’instar de groupes comme Maze, Babuk et Clop, entre autres – pour inciter les victimes à payer. Lors d’une cyberattaque, des informations confidentielles peuvent être volées et le groupe menace de diffuser les données si la victime refuse de céder au chantage.

Le site exploité par DarkSide pour diffuser les données est allé jusqu’à créer un espace presse pour que les journalistes et les entreprises de réponse à incident puissent les joindre directement.

Une question d’image

Sur le site, le groupe ransomware prétend avoir un code de conduite qui l’empêche de mener des attaques contre les services funéraires, les hôpitaux, les soins palliatifs, les maisons de retraite et certaines entreprises impliquées dans la distribution du vaccin COVID-19.

DarkSide semble également avoir fait des efforts pour se présenter comme une sorte de Robin des Bois. Comme noté par Cybereason, le groupe affirme qu’une partie des paiements de rançons est reversée à des œuvres de charité.

“Une partie de l’argent versé par les entreprises ira à des œuvres de charité”, a déclaré DarkSide dans un message du forum. “Peu importe à quel point vous pensez que notre travail est mauvais, nous sommes heureux de savoir que nous avons contribué à changer la vie de quelqu’un”.

Selon les chercheurs, cependant, cette tentative est tombée à plat, avec 20 000 $ de dons en bitcoins (BTC) volés rejetés par les organismes de bienfaisance en raison de leurs origines criminelles.

En contraste direct avec l’image de groupe de bienfaisance, cependant, la cyberattaque contre Colonial Pipeline a causé d’intenses perturbations économiques et sociales – et il semble que les opérateurs du ransomware veuillent prendre leurs distances avec cette situation.

“Nous sommes apolitiques, nous ne participons pas à la géopolitique, il n’est pas nécessaire de nous rattacher à un gouvernement défini et de chercher d’autres nos motivations”, a déclaré DarkSide dans une déclaration datée du 10 mai. “Notre objectif est de faire de l’argent, et non de créer des problèmes pour la société. Nous introduisons la modération et vérifions chaque entreprise que nos partenaires veulent chiffrer pour éviter les conséquences sociales à l’avenir.”

Et pourtant, les extorsions se poursuivent, avec des comptes à rebours sur le site de fuite montrant le prochain lot de fichiers volés déversés, appartenant à d’autres organisations, qui doit être publié dans quelques heures, au moment de la rédaction de cet article.

Leviers de pression

Il convient également de noter que lorsque les entreprises victimes refusent de payer, DarkSide est prêt à partager des informations privilégiées avant la publication des données volées.

“Si l’entreprise refuse de payer, nous sommes prêts à fournir des informations avant la publication, afin qu’il soit possible de profiter de la chute du cours de l’action”, indique le groupe. “Écrivez-nous dans la rubrique “Nous contacter” et nous vous fournirons des informations détaillées.”

Alors que les cybercriminels comme DarkSide prospèrent, les entreprises comme Colonial Pipeline deviennent des dommages collatéraux – et cette organisation ne sera probablement pas la dernière victime de la liste.

Le 10 mai, Colonial Pipeline a déclaré que l’entreprise adopte une “approche progressive” pour rétablir l’approvisionnement et espère que les opérations pourront reprendre complètement d’ici la fin de la semaine.

Bien que la situation reste fluide et continue d’évoluer, l’équipe des opérations de Colonial actionne un plan qui implique un processus progressif qui facilitera le retour au service selon une approche graduelle. Ce plan est basé sur un certain nombre de facteurs, la sécurité et la conformité étant à la base de nos décisions opérationnelles, et l’objectif est de rétablir substantiellement le service opérationnel d’ici la fin de la semaine. L’entreprise fournira des mises à jour au fur et à mesure que les efforts de restauration progresseront.”

Source : “ZDNet.com”

Leave a Reply