Cyberattaques et Colonial Pipeline ( Cybersecurity , Ramsomware )
L’étau semblait se resserrer vendredi autour des pirates informatiques de DarkSide à l’origine de la cyberattaque contre l’opérateur d’oléoducs américain Colonial Pipeline: des experts affirment que ses serveurs ont été mis hors service et que ses messages ont même été supprimés par une importante communauté de cybercriminels russes.
Selon la firme de cybersécurité Recorded Future, le hacker ayant réclamé une rançon à Colonial Pipeline a admis que son groupe DarkSide avait perdu l’accès à plusieurs des serveurs utilisés pour héberger son blog ou se faire payer.
Accessible via le navigateur TOR sur le dark web, la version clandestine d’internet, le site de DarkSide était inaccessible vendredi matin. «Il y a quelques heures, nous avons perdu l’accès à la partie publique de notre infrastructure, à savoir notre blog, notre serveur de paiement et nos serveurs DoS», a écrit dans un article un pirate utilisant le pseudonyme Darksupp, cité par Recorded Future.
Les attaques par déni de service (Denial of Service ou DoS en anglais) visent à provoquer la fermeture d’un site web en le surchargeant de trafic. Darksupp a aussi indiqué que des fonds en cryptomonnaie, utilisés pour le règlement des rançons exigées par le groupe de hackers, avaient été retirés. Un analyste de Recorded Future estime toutefois possible que les aveux de DarkSide soient un subterfuge permettant au groupe de fermer lui-même ses infrastructures pour éviter d’avoir à payer ses associés.
Kimberly Goody, responsable de l’analyse des crimes financiers chez Mandiant, une filiale du géant américain de la cybersécurité FireEye, a déclaré dans un communiqué transmis à l’AFP que son entreprise «n’avait pas pu valider de manière indépendante les affirmations» sur le démantèlement de DarkSide. «Certaines spéculations d’autres acteurs indiquent qu’il pourrait s’agir d’une escroquerie de sortie (exit scam)», ajoute-t-elle en référence à un stratagème visant à faire croire à une fermeture pour conserver l’essentiel du butin.
États-Unis : Joe Biden signe en urgence un décret sur la cybersécurité
Le président des États-Unis a ordonné cette semaine la création d'un comité dédié aux cyberattaques, ainsi que la mise en place de nouvelles normes de sécurité logicielles pour les agences...
More breaking news from @TheRecord_Media: the forum where DarkSide was recruiting affiliates has banned ransomware ads. Read more on their website. https://t.co/v9dRlDvd1t
— Recorded Future (@RecordedFuture) May 14, 2021
New from @martinmatishak and me: Spurred by Colonial, a bipartisan group of lawmakers is drafting legislation that requires critical infrastructure companies, major IT service providers, and federal contractors to report cyberattacks to the government. https://t.co/KkhbAScYQl
— Eric Geller (@ericgeller) May 14, 2021
New activity related to DARKSIDE:
— FireEye (@FireEye) May 14, 2021
.@Mandiant has observed multiple actors cite a May 13 announcement that appeared to be shared with DARKSIDE RaaS affiliates by the operators of the service. (1/3)
Cybercriminalité: Les serveurs de Darkside ont été mis hors ligne https://t.co/viJBGGOMAx
— 24heures (@24heuresch) May 14, 2021
"There is a lack of understanding that we are in the middle of a #ransomware epidemic right now,” said @HLPrivacy Peter Marta in an interview with @CNBC about the U.S. #ColonialPipeline #cyberattack. #ColonialPipelineHack @HLEnergy
— Hogan Lovells (@HoganLovells) May 14, 2021
Read the full article: https://t.co/BRaHFs1znj pic.twitter.com/YlteAHJQ9V
L'entreprise de cybersécurité #RecordedFuture a annoncé que les serveurs de #Darkside avaient été mis hors ligne après une cyberattaque ciblant le groupe #ColonialPipeline : https://t.co/32QhdEnLM2
— Dr. de l'immatériel (@RLDI_Lamy) May 14, 2021
#Darkside #ransomware gang says it lost control of its servers & money a day after Biden threat | The Record by Recorded Future#infosec #itsecurity #cybersecurity #ransomUCinfosechttps://t.co/LQj3pDWOBN pic.twitter.com/dH37i9VMVY
— UCSB Information Security (@UCSBInfoSec) May 14, 2021
The FBI says a group called DarkSide was behind the Colonial Pipeline attack. And like a lot of these ransomware groups, it’s pretty PR-savvy. https://t.co/2LGuVPmwVV
— Marketplace (@Marketplace) May 14, 2021
Russian-language cybercriminal forum ‘XSS’ bans DarkSide and other ransomware groups https://t.co/ROWRso8KNV
— IT Security News - www.itsecuritynews.info (@IT_securitynews) May 14, 2021
Colonial Pipeline Hacker DarkSide Says It Will Shut Operations - WSJ https://t.co/QufOzF19kC
— Katusa (@kats4cops) May 14, 2021
The FBI confirmed earlier this week that DarkSide ransomware was responsible for the compromise of Colonial Pipeline networks, setting off a shutdown of pipeline operations that led to fuel shortages along the southern east coast. https://t.co/y1hVNhriZC
— NewsWatch 12 (@KDRV) May 14, 2021
📢 ICYMI @CISAgov & @FBI's released an Advisory on #Darkside Ransomware: Best Practices for Preventing Business Disruption from #Ransomware Attacks. Protect your organization from this growing threat and review the guidance: https://t.co/bJAuSbQl6U.#Cybersecurity #InfoSec #RaaS pic.twitter.com/sCsZ9nSsVp
— US-CERT (@USCERT_gov) May 14, 2021
Colonial Pipeline: comment les entreprises peuvent faire face à la menace des rançongiciels
L'attaque contre un exploitant américain d'oléoducs a mis en lumière cette forme de logiciels malveillants qui permettent aux pirates informatiques d'exiger des rançons en échange du déblocag...
La cyberattaque qui a paralysé ce week-end les activités du premier exploitant d’oléoducs sur la côte Est des Etats-Unis avait été précédée d’alertes d’anciens et actuels hauts fonctionnaires fédéraux selon lesquels la sécurité nationale était menacée par les rançongiciels.
Samedi après-midi, Colonial Pipeline a annoncé avoir fait l’objet de cette forme d’attaque qui consiste, pour ses auteurs, à prendre le contrôle de systèmes informatiques et à exiger une rançon en échange du déblocage des réseaux et données de la victime.
Colonial exploite un système d’oléoducs de près de 9 000 kilomètres, qui achemine essence et diesel depuis le Golfe du Mexique jusqu’à la région de New York. L’entreprise a déclaré avoir « mis hors service certains systèmes pour contenir la menace, ce qui a provisoirement interrompu l’ensemble des activités d’oléoducs ».
Selon les analystes en cybersécurité, les entreprises sont depuis plusieurs années la cible de rançongiciels et ces attaques deviennent de plus en plus impudentes et coûteuses, en particulier depuis le début de la pandémie. Avec le passage au télétravail, les employés ont été moins nombreux à travailler exclusivement dans le cadre de réseaux sécurisés, offrant autant d’occasions aux pirates informatiques de s’introduire dans les systèmes, expliquent les analystes. La société de cybersécurité Emsisoft estime que les attaques contre les écoles, les administrations locales et les établissements de soins ont bondi l’année dernière, à 2 354 contre 966 en 2019.
Groupes scolaires, hôpitaux, administrations et entreprises de toutes tailles ont été les cibles de ces attaques, et les analystes affirment que les hackers exigent souvent des rançons de plusieurs millions de dollars pour le décryptage des fichiers saisis.
Comment fonctionnent les rançongiciels ?
Les rançongiciels sont un type de logiciels qui cryptent les fichiers des ordinateurs infectés, rendant inutilisables ces fichiers ainsi que les systèmes qui en dépendent, selon la définition de l’Agence américaine de la cybersécurité et de la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA), qui fait partie du département de la Sécurité intérieure. Il existe de multiples formes de rançongiciels, qui font partie des programmes malveillants. Le recours à des outils spécifiquement conçus par les pirates informatiques est souvent nécessaire pour décrypter les systèmes visés.
Les auteurs de ces attaques exigent généralement des paiements en échange de ces outils, indique la CISA. Coveware, qui aide les entreprises victimes à récupérer leurs données, affirme que les rançons payées à la suite de ces attaques ont atteint en moyenne 220 298 dollars au premier trimestre 2021, soit une augmentation de 43 % par rapport au dernier trimestre 2020. Il arrive que les demandes de rançons se chiffrent en millions de dollars, selon les spécialistes intervenant dans le cadre d’incidents de ce type.
Quelle est l’ampleur de la menace pour les entreprises ?
Mercredi, le secrétaire à la Sécurité intérieure, Alejandro Mayorkas, avait qualifié les rançongiciels de menace pour la sécurité nationale. La fréquence de ces attaques a augmenté de 300 % en 2020, a-t-il précisé lors d’un événement virtuel organisé par la Chambre de Commerce américaine. Les trois quarts des victimes sont des petites entreprises, qui ont payé au total plus de 350 millions de dollars de rançons l’année dernière, a-t-il indiqué.
Outre le blocage des fichiers, les auteurs d’attaques par rançongiciel recourent de plus en plus à des tactiques de double extorsion, qui consistent à menacer de publier les informations volées s’ils n’obtiennent pas les montants exigés. Selon Coveware, 77 % des attaques qui ont eu lieu au premier trimestre 2021 ont impliqué le vol de données sous une forme ou une autre.
« De nombreux clients sont potentiellement capables de se remettre du point de vue opérationnel, mais paient la rançon pour empêcher que les données volées ne soient publiées », explique Mark Lance, directeur principal de la cyberdéfense chez GuidePoint Security.
De quelle manière les entreprises peuvent-elles atténuer les risques de rançongiciel ?
Selon les analystes en sécurité, de nombreuses attaques par rançongiciel sont de nature opportuniste, au sens où elles exploitent des lacunes dans les mesures de protection plutôt qu’elles ne ciblent activement tel ou tel individu ou entreprise.
« Les rançongiciels sont le symptôme d’un plus vaste problème, à savoir de mauvaises habitudes en matière de cybersécurité », souligne Megan Stifel, directrice exécutive de la Global Cyber Alliance, une organisation à but non lucratif dédiée à la sécurité sur internet.
La CISA recommande à toutes les entreprises d’adopter un certain nombre de pratiques pour réduire le risque d’infection de leurs systèmes par des rançongiciels. Elle leur conseille notamment de veiller à la mise à jour de leurs logiciels et de remédier régulièrement aux failles de sécurité. En outre, l’agence propose aux collectivités locales et aux entreprises actives dans des infrastructures critiques d’explorer gratuitement leur réseau pour dépister d’éventuelles fragilités.
Que faire en cas d’attaque ?
Les autorités comme le FBI et les services secrets américains recommandent aux entreprises victimes de les contacter pour obtenir de l’aide.
Selon Peter Marta, associé du cabinet d’avocats Hogan Lovells, les entreprises peuvent toutefois hésiter à prendre langue avec les services secrets de peur de faire par la suite l’objet de mesures répressives de la part des organes réglementaires. Les responsables des forces de sécurité affirment qu’ils ne cherchent qu’à aider les entreprises piratées à se remettre en ordre de marche.
« Nous ne sommes pas une autorité réglementaire, il n’y a donc pas de preuve que les services secrets partagent des informations avec une quelconque entité de régulation ni/ou recourent à des mesures punitives contre les victimes », a observé David Smith, agent spécial responsable de la division d’enquêtes criminelles des services secrets, qui s’exprimait, comme M. Marta, lors de l’événement organisé par la Chambre de Commerce américaine.
Certaines entreprises pourraient être obligées de faire état de violations de données ou de cyberattaques auprès des autorités réglementaires en vertu de textes comme la Loi sur la portabilité et la responsabilité en matière d’assurance santé, ou la réglementation sur la cybersécurité des Services financiers de l’Etat de New York.
Comment se remettre d’une attaque par rançongiciel ?
Pour les responsables de la cybersécurité, un dispositif adéquat de sauvegarde des données constitue une mesure défensive essentielle pour se protéger contre les attaques par rançongiciel. En cas d’attaque, il faudra supprimer le logiciel malveillant des systèmes piratés. Un bon dispositif de sauvegarde peut permettre aux entreprises de restaurer leurs systèmes sans devoir utiliser d’outil de décryptage mis au point par les pirates informatiques, a assuré Eric Goldstein, directeur adjoint exécutif pour la cybersécurité à la CISA, lors de l’événement organisé par la Chambre de Commerce américaine.
« Une fois que votre réseau est assaini et que vous êtes certain de vous être débarrassé de la menace, vous pouvez récupérer vos données critiques à partir d’une [source] fiable connue. C’est le remède le plus efficace à une attaque par rançongiciel », a-t-il déclaré.
Faut-il payer la rançon ?
Le FBI recommande aux entreprises de ne pas payer de rançon. Les spécialistes de la cybersécurité qui s’occupent d’attaques par rançongiciel disent souvent qu’il n’existe pas de garantie qu’un pirate fournira un outil de décryptage opérationnel même s’il reçoit un paiement – et le pirate pourrait cibler de nouveau l’organisation concernée pour obtenir une autre rançon.
De nombreux auteurs d’attaques par rançongiciel disposent aujourd’hui d’infrastructures qui ressemblent à des entreprises légitimes, et utilisent comme argument de vente le fait qu’ils assurent un décryptage complet une fois la rançon payée.
« Ils ont affecté des organisations de toutes sortes et ils sont dotés de services clients. Ils ont un service de discussion. Ils proposent une assistance téléphonique si besoin », note Drew Schmitt, analyste principal de renseignements sur les menaces chez GuidePoint.
Quelles sont les mesures prises par les pouvoirs publics en matière de rançongiciels ?
Le département de la Justice a récemment établi un groupe de travail dédié à l’étude des attaques par rançongiciel, qui doit analyser les liens entre les auteurs de ces attaques et certains Etats-nations, entre autres.
Le 29 avril, un groupe nommé Ransomware Task Force, composé de fonctionnaires fédéraux et d’entreprises technologiques comme Microsoft, Amazon et FireEye, a fait part dans un rapport de propositions concernant la lutte contre les attaques par rançongiciel. Elles vont de la création de groupes de travail interministériels dirigés par la Maison Blanche jusqu’au durcissement des réglementations sur les marchés de cryptomonnaies qui, selon le groupe, sont utilisées par les pirates informatiques pour récupérer les rançons.
« Même si vous menez une offensive diplomatique pour déblayer ces zones refuges à partir desquels ils opèrent, vous pouvez aller encore plus loin en ciblant leurs infrastructures et processus de paiement parallèlement », affirme Philip Reiner, qui dirige l’organisme à but non lucratif Institute for Security and Technology et assure la coprésidence du groupe Ransomware Task Force.
M. Mayorkas a indiqué que les attaques par rançongiciel constitueraient une priorité pour le département de la Sécurité intérieure et la CISA. La commission de la Sécurité intérieure de la Chambre des représentants a organisé une audition à ce sujet mercredi dernier, durant laquelle les intervenants ont évoqué les conclusions du rapport sur les rançongiciels et débattu de la nécessité d’octroyer des moyens supplémentaires à la CISA.
(Traduit à partir de la version originale en anglais par Anne Montanaro)
Pipeline Attack Yields Urgent Lessons About US #cybersecurity https://t.co/WGbGJuoxHC
— SeCuRe CyBeR (@Sec_Cyber) May 15, 2021
Good article, but one clarification: The Ransomware Task Force Report was not a DOJ effort but one by @IST_org involving 60 experts (incl me) fm a range of backgrounds w/practical recommendations. Its good DOJ & DHS are now focusing on ransomware — a comprehensive plan is needed https://t.co/Lq8gikuL8T
— Chris Painter (@C_Painter) May 10, 2021
DHS @SecMayorkas has issued a National Terrorism Advisory System Bulletin. The #NTAS Bulletin advises that the U.S. is facing threats that have evolved significantly and become increasingly complex and volatile. Read the full Bulletin here: https://t.co/kxFUsz78rz pic.twitter.com/nWgfJ8IXpp
— Homeland Security (@DHSgov) May 14, 2021
#Ransomware attacks in #2020 were estimated to have cost billions of dollars
— Coveware (@coveware) May 13, 2021
https://t.co/P5L5Dly17z#dataprivacy #dataprotection
Another result from @Europol @Eurojust and multi - country law enforcement further demonstrating the importance and impact of collaboration in the fight against #cybercrime @ec3 https://t.co/ZTiMYiRWwZ
— Global Cyber Alliance EMEA (@EMEA_GCA) May 12, 2021
As ransomware, cybersecurity EOs, new crypto, & innovation battles make headlines, #ISTStratTech will examine the new landscape – the future of crypto, radical proposals for internet security, public-private collab & warfighting in the new tech age.
— Institute for Security and Technology (@IST_org) May 14, 2021
Thank you to all of our incredible speakers who shared their time and knowledge at the ISSA Cyber Executive Forum! What a fantastic group of security professionals!
— ISSA International (@ISSAINTL) May 15, 2021
Don't miss our next Cyber Executive Forum on August 19th. #ISSAExec pic.twitter.com/mwvyHiUr0w
Colonial Pipeline Incident: Yet Another #cybersecurity Wake Up Call https://t.co/CLl2AIoDhC
— SeCuRe CyBeR (@Sec_Cyber) May 15, 2021
#Infographic Future of Cybersecurity #InfoSec #CybersecurityAwarenessMonth #Tech #Ransomware #hacking #Industry40 #CyberSecurity #technology RT @ingliguori cc @antgrasso @PVynckier @avrohomg @Shirastweet @mclynd @AghiathChbib @robmay70 @digitalcloudgal pic.twitter.com/d9dILqzJzg
— Mark Sangster (@mbsangster) May 13, 2021
How to ‘Demystify’ #Cybersecurity #100DaysOfCode #cybersecuritytips #infosecurity #hacknotcrime https://t.co/gNd8qvSoET #blog #rssfeed
— Darkweb.Today - #hacker #cryptocurrencies Content (@DarkwebToday) May 14, 2021