Chris Wray, le directeur du FBI, exhorte les entreprises à ne plus payer de rançons aux pirates informatiques
estimant que l'agence est capable de les aider à déchiffrer leurs données

Après être parvenu à récupérer plus de trois quarts de la rançon vers Colonial Pipeline au groupe de ransomware Darkside, le FBI est revenu sur l'affaire mercredi en demandant aux entreprises de ne plus verser des rançons aux pirates informatiques. Chris Wray, le directeur de l'agence fédérale estime que le paiement de la rançon est le principal facteur qui encourage les pirates à continuer à attaquer les organisations. Cette déclaration intervient également quelques jours après que des autorités russes ont annoncé que Moscou prévoyait de coopérer avec Washington pour sévir contre les pirates informatiques.

« D'une manière générale, nous décourageons le paiement d'une rançon, car cela encourage la multiplication de ces attaques et, franchement, il n'y a aucune garantie que vous récupériez vos données », a déclaré Wray devant une commission des crédits du Sénat américain. « Nous avons vu le volume total de l'argent versé tripler au cours de l'année écoulée », a-t-il ajouté. En fait, Wray a expliqué à l'assemblée que le paiement de la rançon encourageait les pirates à élaborer des attaques par ransomware de plus en plus sophistiquées, ce qui les pousse ensuite à demander des sommes d'argent plus importantes.

Nom : shutterstock_641146135.jpg
Affichages : 867
Taille : 187,2 Ko

Colonial Pipeline a en effet été victime d'une attaque de ransomware début mai. Cela a entraîné la fermeture d'une artère vitale utilisée pour acheminer l'essence, le diesel et le kérosène des raffineries de la côte du Golfe du Mexique vers les points de distribution de la côte Est. Les opérateurs du ransomware Darkside seraient responsables de l'attaque. Selon la société d'informatique Secureworks, les criminels, basés en Russie, seraient une émanation de la célèbre équipe de ransomware REvil et opéreraient depuis le mois d'août 2020 sous la forme d'une opération d'affiliation basée sur des commissions.

« Le ransomware Darkside semble avoir été créé indépendamment de REvil ou GandCrab, mais présente plusieurs similitudes architecturales qui suggèrent que l'auteur de Darkside est familier à ces familles », indique Secureworks dans un compte rendu de recherche. Bloqué, Colonial Pipeline a payé une rançon de 4,4 millions de dollars en bitcoins aux pirates informatiques pour recevoir un logiciel de déchiffrement, qui n'aurait pas servi. La société a déclaré que les attaquants n'avaient touché que ses réseaux informatiques professionnels, et non les systèmes de sécurité et de sûreté de ses pipelines.

Le choix de Colonial Pipeline de payer la rançon a été fortement critiqué par les forces de l'ordre et les organismes d'application de la loi du pays, notamment le FBI et le département américain de la Justice (DoJ). Plus tard, le PDG de Colonial Pipeline, Joseph Blount, s'est expliqué déclarant qu'il a autorisé le paiement de la rançon parce que les dirigeants n'étaient pas sûrs de la gravité de l'attaque ni du temps qu'il faudrait pour remettre le réseau en état. Blount a reconnu qu'il s'agissait d'une option qu'il estimait devoir utiliser, compte tenu des enjeux liés à la fermeture d'une infrastructure énergétique aussi essentielle.

« Je sais que c'est une décision très controversée », a déclaré Blount. « Je ne l'ai pas prise à la légère. J'avoue que je n'étais pas à l'aise de voir de l'argent partir vers des gens comme ça, mais c'était la bonne chose à faire pour le pays », a-t-il poursuivi. Quelques jours plus tard, le 14 mai, le représentant de DarkSide a publié sur plusieurs forums de cybercriminalité en langue russe un message indiquant que le groupe mettait fin à ses activités, ajoutant que ses serveurs Internet et sa réserve de cryptomonnaies avaient été saisis par des entités d'application de la loi inconnues. Mais ce n'est pas fini.

Environ un mois après l'attaque, le DOJ a annoncé qu'il avait réussi à récupérer 2,3 millions de dollars en cryptomonnaie, soit environ 63,7 bitcoins sur les 75 bitcoins versés à Darkside, grâce à une "clé privée" dont dispose le FBI. La saisie semble en effet remarquable, car c'est l'une des rares fois où une victime de ransomware a récupéré les fonds qu'elle avait versés à son agresseur. Les responsables du ministère de la Justice comptent sur cette réussite pour supprimer l'une des principales motivations des attaques par ransomware, à savoir les millions de dollars que les attaquants peuvent gagner.

« Aujourd'hui, nous avons privé une entreprise cybercriminelle de l'objet de son activité, de son produit financier et de son financement », a déclaré début juin Paul M. Abbate, le directeur adjoint du FBI, lors d'une conférence de presse. « Pour les cybercriminels motivés financièrement, en particulier ceux qui sont vraisemblablement situés à l'étranger, couper l'accès aux revenus est l'une des conséquences les plus importantes que nous puissions imposer », a-t-il ajouté. En effet, même s'il a payé la rançon exigée par les pirates informatiques, Colonial avait pris des mesures précoces pour informer le FBI.

L'agence fédérale lui aurait ensuite demandé de suivre des instructions qui ont aidé les enquêteurs à suivre le paiement jusqu'au portefeuille de cryptomonnaies utilisé par les pirates. Ce mercredi 23, le directeur du FBI a déclaré que les entreprises et les administrations municipales qui sont victimes d'attaques par ransomware devraient envisager de s'adresser au FBI dès que possible, et ne pas attendre. « Lorsqu'ils le font, il y a toutes sortes de choses que nous pouvons faire », a déclaré Wray.

« Parfois, grâce à d'autres travaux que nous déjà avons effectués, nous pouvons avoir la clé de déchiffrement et être en mesure d'aider l'entreprise à débloquer ses données sans avoir à payer la rançon », a-t-il ajouté. Dans le cas de l'attaque contre Colonial Pipeline, l'administration Biden pense que le portefeuille numérique utilisé par les pirates de Darkside se trouvait en Russie et aurait demandé des comptes à Moscou. Dernièrement, et à la suite du tête-à-tête entre Poutine et Biden à Genève, les autorités russes ont annoncé que les deux pays allaient collaborer pour contrer les pirates informatiques. Il reste à savoir si cela arrivera.

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Le DOJ saisit 2,3 millions de dollars en cryptomonnaie versés aux opérateurs du ransomware Darkside, grâce à une "clé privée" dont dispose le FBI

Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques, « C'était la bonne chose à faire pour le pays »

Le responsable sécurité de la Russie déclare que Moscou va coopérer avec les USA contre les pirates informatiques : Objectif atteignable avec un peu de volonté des parties ? Utopie ?

Les pirates derrière la récente attaque de ransomware Colonial Pipeline ont reçu un total de 90 millions de dollars, en paiements de rançons bitcoin avant d'arrêter leurs activités

Colonial Pipeline a payé une rançon de près de 5 millions de dollars à des pirates informatiques, pour recevoir un logiciel de déchiffrement qui n'aurait pas servi