Discussion :

[Stan Adkens]

Colonial Pipeline utilisait une version vulnérable et obsolète de Microsoft Exchange,
Lorsqu'il a été la cible d'une attaque par ransomware

Colonial Pipeline est le plus grand système d'oléoducs pour les produits pétroliers raffinés aux États-Unis. L'oléoduc peut transporter jusqu’à 3 millions de barils de carburant par jour entre le Texas et New York. Colonial a temporairement interrompu ses activités vendredi dernier, après avoir déterminé qu'il était victime d'une cyberattaque. Selon un rapport de cybersécurité, la société serait en train d’utiliser une version obsolète de Microsoft Exchange lorsqu'elle a été la cible d'une attaque par ransomware à la fin de la semaine dernière. Ce qui pourrait être la faiblesse exploitée par les pirates informatiques même si le rapport note d’autres causes qui auraient permis l’attaque.

Colonial Pipeline, opérateur du plus grand pipeline de carburant des États-Unis, a déclaré mercredi qu'il redémarrait ses opérations après avoir été arrêté pendant cinq jours en raison d'une cyberattaque. La société a interrompu l'ensemble de ses activités vendredi après que ses réseaux informatiques financiers ont été infectés par une bande de pirates liée à la Russie et connue sous le nom de DarkSide, craignant que les pirates ne s'étendent également à ses activités industrielles. Le FBI a confirmé que le ransomware DarkSide était effectivement responsable de l'attaque.

Un rapport d'expertise a indiqué que le « coupable le plus probable » au sein de l'infrastructure informatique de la société était la vulnérabilité des services Microsoft Exchange, comme l'a noté la journaliste Nicole Perlroth, bien qu'il y ait eu plusieurs autres problèmes que les chercheurs ont qualifiés de « manque général de sophistication en matière de cybersécurité ».

« Conclusions intéressantes de l'expertise judiciaire sur Colonial Pipeline : Ils utilisaient TOUJOURS une version vulnérable de Microsoft Exchange (le même système exploité par des pirates chinois qui a été révélé en mars), parmi d'autres lacunes notables ».

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis en garde les exploitants de pipelines contre les attaques potentielles de ransomware en 2020 et a offert un certain nombre de stratégies d'atténuation potentielles.

DarkSide est l'un des nombreux groupes de pirates informatiques qui terrorisent les organisations américaines depuis plusieurs années, s'introduisant dans des réseaux privés et prenant des fichiers en otage ou menaçant de divulguer des informations sensibles à moins de payer une rançon. D'autres gangs de ransomware ont attaqué des écoles, des hôpitaux et des services de police au cours des derniers mois.

Selon une étude menée par la société de cybersécurité Recorded Future, plus de 100 attaques confirmées de ransomware contre des entités américaines ont déjà eu lieu en 2021. Une étude de la société de cybersécurité Emsisoft a également révélé que les gangs de ransomware ont encouru des coûts d'environ 75 milliards de dollars dans le monde en 2020.

Bien que ces pirates soient suivis de près par les forces de l'ordre américaines, beaucoup vivent en Russie ou dans d'autres pays qui n'extradent pas leurs citoyens, ce qui fait échouer les efforts pour les arrêter. Cependant, en s'attaquant à l'approvisionnement en essence des États-Unis, DarkSide en particulier a rapidement attiré l'attention de la nation.

Pour sa part, Darkside affirme sur son blog que son objectif était de « faire de l'argent » et non de provoquer des perturbations à grande échelle. À l'avenir, il a déclaré qu'il modifierait son approche du choix des cibles afin d'éviter les « conséquences sociales ». Il a ajouté : « Nous sommes apolitiques, nous ne participons pas à la géopolitique, il n'est pas nécessaire de nous lier à un gouvernement défini et de chercher d'autres motifs ». La déclaration du groupe intervient alors que les forces de l'ordre américaines continuent de découvrir de nouveaux détails sur les origines de l'attaque. Les responsables tentent de déterminer s'il s'agit d'un effort coordonné d'un État-nation.

Colonial Pipeline reprend ses activités après la fermeture due au ransomware

Bien que tout indique que l'attaque a touché la partie informatique du réseau de la société et ne s'est pas étendue à la partie technologique opérationnelle qui contrôle les opérations du pipeline, Colonial a déclaré samedi qu'elle a initié la fermeture par mesure de précaution. Cette fermeture d'une importante artère de carburant a mis les entreprises et les consommateurs dans l'embarras. American Airlines a ajouté des arrêts temporaires pour le ravitaillement en carburant de deux vols long-courriers au départ de Charlotte, en Caroline du Nord, et Southwest Airlines a envoyé des avions remplis de carburant supplémentaire dans des aéroports tels que l'aéroport international de Nashville.

Selon American Automobile Association, en Caroline du Sud et en Géorgie, 43 % des stations étaient sans carburant, et 44 % des stations étaient à sec en Virginie, jusqu’à mercredi. Les prix de l'essence ont également grimpé en raison des problèmes d'approvisionnement et de la crainte d'une pénurie. En moyenne, les Américains paient 3,008 dollars pour un gallon d'essence, contre 2,985 dollars mardi et 2,927 dollars il y a une semaine, a indiqué l'AAA en début de semaine.

Tout cela a conduit les consommateurs à rechercher des stations-service qui ont de l'approvisionnement et des prix potentiellement moins chers. C'est là que GasBuddy entre en jeu. GasBuddy, une application qui aide les utilisateurs à trouver et à économiser de l'argent sur l'essence, était en tête de l'App Store d'Apple mercredi. En général, les géants des médias sociaux et du divertissement tels que TikTok, Facebook et YouTube sont en tête du classement des applications gratuites de l'App Store. Les classements reflètent la dynamique des téléchargements d'une certaine application, et pas nécessairement le total des téléchargements cumulés.

Mais Colonial Pipeline a déclaré avoir repris ses activités mercredi après-midi après une interruption de cinq jours. L'oléoduc de la société sert de lien vital entre les raffineurs de la côte du Golfe et la côte Est.

« Suite à ce redémarrage, il faudra plusieurs jours pour que la chaîne d'approvisionnement de livraison des produits revienne à la normale », a indiqué l'exploitant du pipeline de 5 500 miles (environ 8 851 km) sur son site Web. « Certains marchés desservis par Colonial Pipeline peuvent connaître, ou continuer à connaître, des interruptions de service intermittentes pendant la période de démarrage. Colonial acheminera autant d'essence, de diesel et de carburéacteur que possible en toute sécurité et continuera de le faire jusqu'à ce que les marchés reviennent à la normale ».

Colonial a déclaré qu'il travaillait avec des experts en cybersécurité, les forces de l'ordre et d'autres agences fédérales, notamment le ministère de l'Énergie et le FBI. Jennifer Granholm, la secrétaire d'État américaine à l'énergie, a indiqué sur Twitter qu'elle avait parlé du redémarrage avec le PDG de Colonial. La société a engagé Mandiant, une entreprise de cybersécurité d'Alexandria (Virginie), pour faire face à l'incident. Dans sa déclaration, la société a remercié la Maison-Blanche, le FBI et diverses agences américaines pour leur aide dans la gestion de l'attaque.

Lundi, le président Joe Biden a déclaré qu'il semblait que le groupe opérait en Russie et que, bien que l'attaque n'ait pas été dirigée par le gouvernement russe, « il a une certaine responsabilité dans cette affaire ». Le président américain a publié un décret visant à renforcer les défenses américaines en matière de cybersécurité après le piratage du Colonial Pipeline.

Il faut rappeler qu’un audit externe de Colonial Pipeline en 2018 a révélé des pratiques de gestion de l'information « atroces » et « un patchwork de systèmes mal connectés et sécurisés », a rapporté The Associated Press, citant un auteur du rapport. La réponse de Colonial et du gouvernement à la brèche est suivie de près après l'une des attaques de pirates informatiques les plus directes sur les infrastructures critiques américaines après des années d'avertissements.

Cette nouvelle attaque intervient après des mois de drame avec Microsoft Exchange, suite au piratage du serveur Microsoft Exchange par plusieurs groupes, dont le groupe de pirates chinois Hafnium, parrainé par l'État. Colonial Pipeline ne prévoit pas de payer la rançon demandée par les pirates informatiques qui ont chiffré ses données, ont dit à un média des sources familières avec la réponse de la société.

Source : Tweet

Et vous ?

Que pensez-vous de la cyberattaque contre Colonial Pipeline ?
Une version obsolète de Microsoft Exchange est citée parmi les faiblesses exploitées, après des mises à jour suite à la récente vague de piratages. Quels commentaires en faites-vous ?

Voir aussi :

Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer", et appelle à l'action
Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

[redcurve]

Encore une boite avec des softs pas à jour qui se fait défoncer alors que le problème a été patché depuis longtemps

[Stan Adkens]

Colonial Pipeline a payé une rançon de près de 5 millions de dollars à des pirates informatiques,
Pour recevoir un logiciel de déchiffrement qui n’aurait pas servi

Colonial Pipeline aurait versé près de 5 millions de dollars en bitcoins au groupe de pirates qui l'a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service. Mais la société a fini par utiliser ses propres sauvegardes pour rétablir ses opérations, ce qui confirme qu’en matière de ransomware, on n'obtient pas toujours ce pour quoi on paie. En effet, le logiciel fourni par les cybercriminels pour rétablir les réseaux verrouillés était très "lent". D’un autre coté, plusieurs médias ont rapporté, plus tôt, que Colonial ne paiera pas la rançon demandée par le groupe de pirates russophones DarkSide.

La société américaine a payé la forte rançon en cryptomonnaie difficile à tracer dans les heures qui ont suivi l'attaque, le vendredi presque immédiatement après avoir détecté l'infection, soulignant l'immense pression à laquelle l'opérateur basé en Géorgie doit faire face pour que l'essence et le kérosène circulent à nouveau dans les grandes villes de la côte Est, ont déclaré des personnes au courant de la réponse à l’attaque. Une troisième personne au fait de la situation a déclaré que les responsables du gouvernement américain savent que Colonial a effectué le paiement.

Une fois qu'ils ont reçu le paiement, les pirates ont fourni à l'opérateur un outil de déchiffrement pour restaurer son réseau informatique désactivé. L'outil était si lent que la société a continué à utiliser ses propres sauvegardes pour aider à restaurer le système, a déclaré l'une des personnes au courant des efforts de la société.

Cette nouvelle est en contradiction avec des rapports publiés plus tôt cette semaine selon lesquels la société n'avait aucune intention de payer une rançon d'extorsion pour aider à restaurer le plus grand système d'oléoducs pour les produits pétroliers raffinés aux États-Unis, selon deux sources impliquées dans l’affaire. Les sources de CNN, par exemple, ont insisté sur le fait que Colonial Pipeline n'avait pas encore payé la rançon, et n'aurait probablement pas besoin de le faire, suggérant qu'il avait déjà « réussi à récupérer les données les plus importantes qui avaient été volées » avec l'aide du gouvernement américain.

La nouvelle est également un peu inquiétante en raison de la façon dont une rançon réussie pourrait encourager les pirates informatiques à l'avenir. Au fil des ans, nous avons entendu parler de petites entreprises et d'entités gouvernementales locales qui ont payé des rançons pour retrouver l'accès à leurs systèmes, mais il s'agit peut-être de l'un des exemples de ransomware les plus médiatisés à ce jour, et la nouvelle pourrait inspirer des imitateurs.

Les pirates, qui, selon le FBI, sont liés à un groupe appelé DarkSide, sont spécialisés dans l'extorsion numérique et seraient situés en Russie. Lundi, alors que l'achat panique d'essence faisait la une des journaux et que la Maison-Blanche s'en mêlait, DarkSide a publié une déclaration insistant sur le fait qu'il n'a jamais voulu faire un tel gâchis. « Notre objectif est de gagner de l'argent », peut-on lire dans la déclaration, « et non de créer des problèmes pour la société ». À l'avenir, le groupe a déclaré qu'il modifierait son approche du choix des cibles afin d'éviter les « conséquences sociales ».

DarkSide, selon son site Web, gagne de l'argent de différentes manières. Outre les ransomwares, il menace également de divulguer les données des entreprises à des tiers (y compris des vendeurs à découvert) à moins qu'un paiement supplémentaire ne soit effectué. Nicole Perlroth, célèbre journaliste spécialisée dans la cybersécurité, a confirmé que le paiement s'élevait à 75 bitcoins, bien qu'elle indique que le paiement a été effectué lundi, et non vendredi.

Dans un tweet, Perlroth a appuyé mardi un rapport d'expertise qui a indiqué que le « coupable le plus probable » au sein de l'infrastructure informatique de la société était la vulnérabilité des services Microsoft Exchange, bien qu'il y ait eu plusieurs autres problèmes que les chercheurs ont qualifiés de « manque général de sophistication en matière de cybersécurité ».

Payer la rançon aux auteurs d’une cyberattaque hautement médiatisée, un précédent peut-être dangereux

Le président Biden a également refusé de répondre à la question de savoir si Colonial Pipeline avait payé ses extorqueurs lors d'un point de presse jeudi. Il n'a pas exclu la possibilité que l'administration cible les pirates, un groupe de ransomware appelé DarkSide, par une frappe de représailles. Il a déclaré que les États-Unis prendraient « une mesure visant à perturber leur capacité à opérer ».

Un ransomware est un type de logiciel malveillant qui verrouille les fichiers d'une victime, que les attaquants promettent de déverrouiller contre un paiement. Jen Psaki, attachée de presse de la Maison-Blanche, a déclaré lors d'un autre point de presse : « Le FBI recommande de ne pas payer de rançon dans ces cas-là », car cela peut inciter les pirates à mener d'autres attaques. Elle a ajouté que « les entités ou entreprises du secteur privé vont prendre leurs propres décisions ».

Cependant, Anne Neuberger, la principale responsable de la cybersécurité à la Maison-Blanche, a refusé catégoriquement de dire si les entreprises devaient payer des cyberrançons lors d'un briefing en début de semaine. « Nous reconnaissons cependant que les entreprises sont souvent dans une position difficile si leurs données sont chiffrées et qu'elles n'ont pas de sauvegardes et ne peuvent pas récupérer les données », a-t-elle déclaré aux journalistes lundi.

Un expert en criminalistique numérique a suggéré que 5 millions de dollars n'est pas une somme particulièrement importante pour quelque chose comme ça : « La rançon est généralement de l'ordre de 25 à 35 millions de dollars pour une telle entreprise. Je pense que l'auteur de la menace a réalisé qu'il s'était trompé d'entreprise et a déclenché une réponse massive du gouvernement », a déclaré Ondrej Krehel, PDG de LIFARS. « C'est un cybercancer. Vous voulez mourir ou vous voulez vivre ? Ce n'est pas une situation où l'on peut attendre ».

Des pratiques de gestion de l'information "atroces" chez Colonial, selon un rapport d’audit

Un audit externe réalisé il y a trois ans chez Colonial, l'importante société de pipelines de la côte Est, a révélé des pratiques de gestion de l'information « atroces » et « un patchwork de systèmes mal connectés et sécurisés », a déclaré son auteur à l'Associated Press. « Nous avons trouvé des lacunes flagrantes et de gros problèmes », a déclaré Robert F. Smallwood, dont le cabinet de conseil iMERGE a remis un rapport de 89 pages en janvier 2018 après un audit de six mois. « Je veux dire qu'un élève de quatrième aurait pu pirater ce système ».

Si l'audit d'iMERGE n'était pas directement axé sur la cybersécurité, « nous avons trouvé de nombreux problèmes de sécurité, et cela a été mis dans le rapport ». Smallwood, associé d'iMERGE et directeur général de l'Institute for Information Governance, a déclaré avoir préparé un plan de 24 mois et de 1,3 million de dollars pour Colonial.

Les déclarations de Colonial mercredi suggèrent qu'il a peut-être tenu compte d'un certain nombre de recommandations de Smallwood. La société a déclaré que depuis 2017, elle a engagé quatre entreprises indépendantes pour des évaluations des risques de cybersécurité et a augmenté ses dépenses informatiques globales de plus de 50 %. Bien qu'elle n'ait pas précisé de montant, elle a dit avoir dépensé des dizaines de millions de dollars.

« Nous évaluons et améliorons constamment nos pratiques de sécurité, tant physiques que numériques », a déclaré la société privée de Géorgie en réponse aux questions de l'AP sur les conclusions de l'audit. Les sociétés qui ont travaillé sur la cybersécurité n’ont pat été nommées, mais une entreprise, Rausch Advisory Services, située à Atlanta près du siège de Colonial, a reconnu en faire partie. Le directeur de l'information de Colonial siège au conseil consultatif de Rausch.

En outre, Colonial affirme avoir mis en place une surveillance active et des systèmes de détection des menaces qui se chevauchent sur son réseau et avoir identifié l'attaque par ransomware « dès que nous en avons eu connaissance ». Colonial a déclaré que son réseau informatique est strictement séparé des systèmes de contrôle des pipelines, qui n'ont pas été touchés par le ransomware.

Mais Colonial n'a pas dit comment les pirates ont pénétré dans son réseau. Les autorités fédérales et les experts en cybersécurité ne manqueront pas d'examiner de près la vulnérabilité de son réseau à la compromission, afin de déterminer comment la cyberattaque la plus dévastatrice pour les infrastructures critiques américaines aurait pu être évitée.

Smallwood a également déclaré qu'il n'avait trouvé aucune formation de sensibilisation à la sécurité, qui apprend surtout aux employés à ne pas être victimes de phishing, la cause de plus de 90 % des cyberintrusions. Mais Colonial a déclaré que son régime de cybersécurité élargi comprend des campagnes régulières de simulation de phishing pour les employés.

Il n'est pas clair quelles parties du Colonial Pipeline étaient en danger : un porte-parole a laissé entendre que rien ne prouvait que les systèmes opérationnels de la société avaient été compromis ; CNN a fait dire mercredi à trois sources que le pipeline avait été fermé parce que son système de facturation était affecté, et que la société n'était pas sûre de pouvoir facturer correctement le carburant. Le reportage de Kim Zetter, journaliste spécialisée dans la cybersécurité, suggère que la décision était probablement plus compliquée que cela, car d'autres entités du système de distribution du pétrole craignaient également que le ransomware ne se propage à leurs ordinateurs.

Colonial a commencé à reprendre ses activités mercredi soir, et le président Biden a déclaré qu'il devrait « atteindre sa pleine capacité opérationnelle au moment où nous parlons » lors d'un briefing jeudi après-midi. Les approvisionnements en pétrole devraient connaître « un retour à la normale région par région dès ce week-end », a-t-il déclaré.

Cependant, il prévient que « ce n'est pas comme si on appuyait sur un interrupteur - cet oléoduc a une longueur de huit mille cinq cents kilomètres, il n'a jamais été fermé dans son histoire... cela va prendre un certain temps, et il peut y avoir quelques contretemps en cours de route ».

Le président Biden précise que les États-Unis n'accusent pas directement la Russie : « Nous ne pensons pas que le gouvernement russe soit impliqué dans cette attaque, mais nous avons de fortes raisons de croire que les criminels qui ont commis cette attaque vivent en Russie », dit-il. Mercredi, il a signé un décret visant à améliorer la cybersécurité nationale. La Maison-Blanche a spécifiquement cité Colonial Pipeline, le piratage de SolarWinds et les vulnérabilités du serveur Microsoft Exchange comme autant de défaillances d'infrastructures auxquelles le gouvernement espère remédier.

Sources : Tweet, AP

Et vous ?

Quel est votre commentaire sur ce sujet ?
Quel est votre avis sur le versement de rançons aux pirates informatiques ? Y a-t-il des situations où un paiement peut être justifié ?
Après paiement, Colonial aurait reçu un logiciel de restauration de son réseau qui n’a pas servi parce que trop lent. Quel commentaire en faites-vous ?

Voir aussi :

Joe Biden publie un décret visant à renforcer les défenses américaines en matière de cybersécurité, après le piratage du Colonial Pipeline
Colonial Pipeline utilisait une version vulnérable et obsolète de Microsoft Exchange, lorsqu'il a été la cible d'une attaque par ransomware
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées

[Nancy Rey]

Colonial Pipeline cherchait à embaucher un responsable de la cybersécurité
avant que l'attaque par ransomware ne bloque à ses activités

Il peut sembler un peu tard pour pourvoir le poste, mais Colonial Pipeline était à la recherche d'un responsable de la cybersécurité des semaines avant l'attaque par ransomware. Dommage qu'elle n'en ait pas trouvé un. La semaine dernière, la société a été victime de l'une des attaques de ransomware les plus médiatisées de son histoire, qui a entraîné la fermeture d'une artère vitale utilisée pour acheminer l'essence et le diesel et le kérosène des raffineries de la côte du Golfe du Mexique vers les points de distribution de la côte Est. Une publication sur le site web de l'entreprise pour le poste de responsable de la cybersécurité indique que le poste est à pourvoir depuis plus de 30 jours.

Un porte-parole du Colonial pipeline a déclaré mercredi indique que « le poste de cybersécurité n'a pas été créé à la suite de la récente attaque par ransomware ». La société a ajouté qu'elle avait « plusieurs postes ouverts dans le cadre de notre stratégie de croissance à plus long terme autour des talents, car nous recrutons constamment des talents de haut niveau dans tous les domaines fonctionnels de notre entreprise. Le poste de soutien à la cybersécurité en est un exemple. Il s'agit d'un rôle que nous avons cherché à ajouter dans le but de continuer à développer notre équipe actuelle de cybersécurité ».

Les responsabilités du poste comprennent « la gestion d'une équipe d'experts et de spécialistes certifiés en matière de cybersécurité », ainsi que la direction « du développement de la stratégie d'entreprise en matière de cybersécurité ». L'annonce indique également que le candidat sélectionné « supervisera le développement de normes et de processus pour la cybersécurité, dirigera la reprise après des incidents de sécurité et guidera les analyses médico-légales des incidents ». L'entreprise recherche « une personne ayant une bonne compréhension des menaces émergentes en matière de sécurité afin de concevoir des politiques et des procédures de sécurité pour atténuer les menaces dans la mesure du possible », indique l'annonce.

Les exigences du poste comprennent un diplôme en informatique, en sécurité de l'information ou dans un domaine connexe. Colonial pipeline recherche également une personne ayant « idéalement plus de cinq ans d'expérience technique dans le domaine de la sécurité de l'information et, en outre, plus de cinq ans d'expérience pratique dans un rôle de réponse aux incidents », indique l'annonce. Mais l'entreprise préfère que le candidat soit titulaire d'une maîtrise et ait au moins huit ans d'expérience. L'offre d'emploi ne figurait pas seulement sur le site Web de l'entreprise, qui était lui-même hors ligne pendant une partie de la journée de mardi. L’annonce figurait également sur de nombreux sites externes de recherche d'emploi tels que Indeed.com, ZipRecruiter et Glassdoor depuis plus de 30 jours, ainsi que sur d'autres sites où elle semblait être une nouvelle annonce cette semaine.

Le gang du ransomware Darkside serait responsable de l'attaque. La société d'informatique Secureworks estime que les criminels basés en Russie (qu'elle a baptisé Gold Waterfall) opèrent depuis le mois d'août de l'année dernière sous la forme d'une opération d'affiliation basée sur des commissions, et qu'ils sont une émanation de la célèbre équipe de ransomware Revil. « Darkside ransomware semble avoir été créé indépendamment de REvil ou GandCrab, mais présente plusieurs similitudes architecturales qui suggèrent que l'auteur de Darkside est familier de ces familles », indique Secureworks dans un compte rendu de recherche.

L'attaque par ransomware a paralysé le plus grand pipeline de carburant d'Amérique du Nord à la fin de la semaine dernière, coupant près de la moitié de l'essence et du gasoil sur la côte Est du pays. Les stations-service de plusieurs États sont à court de carburant en raison de la panique et du manque d'approvisionnement. Le prix moyen de l'essence a bondi au cours de la semaine dernière, dépassant les 3 dollars pour la première fois depuis 2016 d’après l’American Automobile Association.

Colonial pipeline a déclaré qu'il devrait rétablir le service sur la majorité de son pipeline d'ici vendredi. « Des segments de notre oléoduc sont remis en service progressivement, conformément aux réglementations fédérales pertinentes et en étroite consultation avec le ministère de l'Énergie, qui dirige et coordonne la réponse du gouvernement fédéral », a déclaré la société dans un communiqué.

Mais il a maintenu que la situation « reste fluide et continue d'évoluer », et qu'il s'agit d'un processus progressif. « Ce plan est basé sur un certain nombre de facteurs, la sécurité et la conformité étant le moteur de nos décisions opérationnelles, et l'objectif étant de rétablir substantiellement le service opérationnel d'ici la fin de la semaine », a ajouté la société.

Dans un communiqué, Colonial Pipeline prévient que certains marchés pourraient continuer de subir « des interruptions de service intermittentes pendant la période de redémarrage ». Mais il assure que le groupe « déplacera autant d'essence, de diesel et de kérosène que possible en toute sécurité et continuera de le faire jusqu'à un retour à la normale ». Il souligne que l' « objectif principal reste la sécurité ».

Source : Offres d’emploi (1, 2)

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Joe Biden publie un décret visant à renforcer les défenses américaines en matière de cybersécurité, après le piratage du Colonial Pipeline

Colonial Pipeline utilisait une version vulnérable et obsolète de Microsoft Exchange, lorsqu'il a été la cible d'une attaque par ransomware

Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer", et appelle à l'action

Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

[marsupial]

De ce que j'ai pu lire de l'Associated Press, on peut dire que Colonial n'est pas trop à cheval sur la sécurité de son pipeline, qu'elle soit informatique ou physique. L'interlocuteur de chez Colonial dit avoir dépensé des millions de dollars dans la sécurité mais ils n'ont toujours pas de RSSI et que la fonction est occupée par une subalterne du DSI. Le RSSI ne doit avoir qu'un supérieur dans une boîte comme celle-ci : le PDG. Parce-que dépendre de la DSI met en conflit avec d'autres responsabilités qui font que les serveurs Exchange ne sont pas patchés.

[redcurve]

De ce que j'ai pu lire de l'Associated Press, on peut dire que Colonial n'est pas trop à cheval sur la sécurité de son pipeline, qu'elle soit informatique ou physique. L'interlocuteur de chez Colonial dit avoir dépensé des millions de dollars dans la sécurité mais ils n'ont toujours pas de RSSI et que la fonction est occupée par une subalterne du DSI. Le RSSI ne doit avoir qu'un supérieur dans une boîte comme celle-ci : le PDG. Parce-que dépendre de la DSI met en conflit avec d'autres responsabilités qui font que les serveurs Exchange ne sont pas patchés.

Dans la plupart des boites les serveurs ne sont pas patchés, ni les postes utilisateur, ni les routeurs etc. malheureusement.

[Arya Nawel]

Pas de bol pour celui qui va hériter du poste

[Stan Adkens]

Les acteurs du ransomware Darkside ont cessé leurs activités,
Affirmant que leur infrastructure publique a été perturbée par un organisme d'application de la loi non spécifié

DarkSide, le groupe de ransomware à l'origine de l'attaque de Colonial Pipeline, a apparemment perdu l'accès à son site Web et à ses serveurs. Jeudi dernier, l'opérateur de DarkSide a écrit dans un forum russe qu'il avait perdu l'accès à « l'infrastructure publique » du groupe, selon la société de cybersécurité Recorded Future, qui a repéré le message du forum. Le site Web contenait auparavant des annonces du groupe criminel de ransomware ainsi que des fichiers de données volées provenant d'autres incidents de ransomware, selon des captures d'écran vues par la société. Le site affiche désormais une page blanche avec "Not Found".

Le FBI a confirmé en début de la semaine dernière que le ransomware DarkSide était à l'origine de la compromission des réseaux de Colonial Pipeline, ce qui a entraîné l'arrêt des activités du pipeline et, par conséquent, des pénuries de carburant et des files d'attente massives dans les stations-service du sud de la côte est. DarkSide est une opération de "ransomware-as-a-service", ce qui signifie que les développeurs du ransomware reçoivent une part des recettes d'autres acteurs cybercriminels, appelés "affiliés", qui le déploient.

Selon une annonce publiée tard dans la nuit de jeudi à vendredi, qui a été examinée par les sociétés de cybersécurité Intel 471 et Recorded Future, le groupe a écrit : « Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure ». Les actifs perdus comprennent le blog du groupe, qui est hors service depuis jeudi, son serveur de paiement, qui recevait des fonds en cryptomonnaies de la part des victimes, et le réseau de diffusion de contenu (CDN) des données volées.

Le communiqué de DarkSide précise également que « le service d'assistance à l'hébergement ne fournit aucune information, sauf à la demande des autorités chargées de l'application de la loi ». « Quelques heures après le retrait, les fonds du serveur de paiement (les nôtres et ceux des clients) ont été envoyés à une adresse inconnue », a écrit "Darksupp", l'opérateur de DarkSide, dans le message en langue russe. L’opérateur a déclaré qu'ils allaient délivrer des outils de déchiffrement à tous leurs affiliés pour les cibles qu'ils ont attaquées, et ont promis de compenser toutes les obligations financières en suspens d'ici le 23 mai 2021.

Dans le même post, Darksupp indique que le groupe cesse toutes les opérations de son programme de ransomware, qui était loué à d'autres cybercriminels pour être utilisé. « Au vu de ce qui précède et en raison de la pression exercée par les États-Unis, le programme d'affiliation est fermé. Restez en sécurité et bonne chance », ajoute le post, selon la traduction en anglais de la société de sécurité Intel471.

Ces déclarations suggèrent que les forces de l'ordre ont saisi l'infrastructure informatique du groupe et ses revenus en cryptomonnaies. Le jour même où Darksupp a déclaré avoir perdu l'accès, le président Biden a déclaré que les États-Unis « prendraient des mesures pour perturber » la capacité du groupe de ransomware à opérer. Biden a également appelé la Russie – où les services de renseignement américains pensent que le groupe DarkSide est basé – à traquer les attaquants. « Nous avons été en communication directe avec Moscou au sujet de l'impératif pour les pays responsables de prendre des mesures décisives contre ces réseaux de ransomware », a déclaré le président américain.

DarkSide n'est pas le seul groupe à avoir annoncé qu’il cessait ses activités

Selon Intel471, le 13 mai, un autre groupe RaaS, Babuk, a déclaré avoir remis le code source du ransomware à "une autre équipe", qui continuerait à le développer sous une nouvelle marque. Le groupe s'est toutefois engagé à rester en activité, en continuant à gérer un blog, tout en encourageant les autres gangs de ransomware à passer à un mode de fonctionnement privé. Cette annonce est intervenue après que le groupe a publié les parties restantes des données volées au Metropolitan Police Department du District de Columbia. Ces archives, qui contenaient 250 Go de données, auraient inclus des données personnelles d'agents et de personnel auxiliaire, une base de données remplie d'informations sur des criminels, ainsi que des informations sur des informateurs de la police.

Bien que Babuk se soit engagé à poursuivre ses activités, il pourrait avoir du mal à trouver des affiliés. Peu après les annonces ci-dessus, l'administrateur de l'un des forums de cybercriminalité les plus populaires en langue russe a annoncé l'interdiction immédiate de toute activité liée aux ransomwares sur son forum. Le forum interdit désormais la publicité pour les ransomwares, les ventes, les services de négociation de rançons et les offres similaires. Toutes les annonces qui se trouvent actuellement sur les forums seront supprimées, selon Intel471.

L'attention portée par les États-Unis pourrait également avoir incité l'ensemble du monde cybercriminel à se détourner du groupe DarkSide. « Le 14 mai, plusieurs sources souterraines crédibles ont affirmé que le groupe de ransomware DarkSide n'était plus présent sur le dark web », a écrit la société de cybersécurité Gemini Advisory dans un billet de blog.

« L'un des forums de premier plan sur lequel DarkSide opérait a imposé des sanctions à tous les groupes de ransomware, les bannissant entièrement du forum », ajoute Gemini Advisory. « L'autre forum de premier plan a supprimé le compte Darksupp et deux fils de discussion sur son ransomware ».

Un opérateur connu pour être à l'origine du programme de ransomware REvil a annoncé qu'il cessait de promouvoir son logiciel malveillant sur le forum, supprimant le fil de discussion où le service était annoncé. L'opérateur a déclaré que REvil continuerait à fonctionner sur un autre forum de cybercriminalité bien connu en langue russe, mais il s'attend à ce que ce forum interdise bientôt toute activité liée au ransomware. Si cela devait se produire, l'opérateur a déclaré que REvil deviendrait probablement entièrement privé.

Une annonce des acteurs de Darkside qui pourrait être une "arnaque"

Mandiant Threat Intelligence, la société de cybersécurité qui a travaillé avec Colonial Pipeline pour remettre ses opérations en marche, a déclaré que la déclaration pourrait être une « arnaque de sortie » de DarkSide. « Le post a cité la pression des forces de l'ordre et la pression des États-Unis pour cette décision », a déclaré Kimberly Goody, responsable principale de l'analyse de la criminalité financière chez Mandiant. « Nous n'avons pas validé de manière indépendante ces affirmations et d'autres acteurs spéculent sur le fait qu'il pourrait s'agir d'une arnaque à la sortie ».

Dmitry Smilyanets, un chercheur de Recorded Future, prévient également qu'il pourrait s'agir d'un simple "faux drapeau". Il est tout à fait possible que DarkSide ait délibérément choisi de faire profil bas dans le but de réapparaître des mois plus tard sous un autre nom. « Il est probable que ces opérateurs de ransomwares cherchent davantage à se soustraire aux feux de la rampe qu'à découvrir soudainement leurs erreurs », a écrit Intel471. « Un certain nombre de ces opérateurs vont très probablement opérer dans leurs propres groupes fermés, refaisant surface sous de nouveaux noms et des variantes de ransomware mises à jour ».

Deux experts en cybersécurité ont également averti que si le site était saisi par les autorités américaines, il aurait probablement un avis de saisie sur le site avec des logos des forces de l'ordre. Mais Dave Kennedy, un ancien hacker de la National Security Agency qui est aujourd'hui président et directeur général de la société de sécurité informatique TrustedSec, a déclaré que cela dépendait de l'endroit où résidaient les serveurs du groupe.

« S'ils se trouvaient dans un pays avec lequel nous entretenons des relations, le gouvernement américain travaillerait en collaboration avec l'autre gouvernement étranger pour mettre les serveurs hors ligne », a-t-il déclaré. « Si les pays où se trouvent les serveurs sont plus hostiles, par exemple la Russie, c'est là que se déroulent les cyberopérations offensives, où le piratage des systèmes et leur mise hors service sont une option possible ».

Kennedy estime que la mise hors ligne si soudaine du site est le signe d'un retrait délibéré. « L'administration Biden et les forces de l'ordre se concentrent désormais sur les groupes de ransomware, ce qui les fait trembler », a-t-il déclaré. Il a toutefois fait remarquer que DarkSide n'est pas encore complètement fermé, car les individus à l'origine de ce projet sont toujours en liberté.

Darkside est « relativement nouveau » en termes de groupes de ransomware, selon Allan Liska, architecte de sécurité senior chez Recorded Future, qui a déclaré que le groupe existe depuis août 2020, mais « ils sont assez agressifs » et ont « grandi très rapidement ». « Vous payez des frais pour rejoindre leur service. Et ensuite, l'acteur principal de la menace reçoit une part de chaque paiement réussi de ransomware que vous effectuez », a déclaré Liska. Le groupe a précédemment publié un avis sur le dark web indiquant que sa motivation était « uniquement de faire de l'argent » et affirmant qu'il n'a pas mené l'attaque au nom d'un gouvernement étranger.

Un commentateur a lui aussi écrit : « Je doute qu'ils aient disparu. Ils vont choisir un nouveau nom et poursuivre leurs opérations. La meilleure façon de traiter ces criminels est que leur pays d'accueil les trouve, saisisse leurs richesses et les jette en prison ». Et vous, qu’en pensez-vous ?


Sources : Recorded Future, Intel471

Et vous ?

Que pensez-vous de la déclaration des acteurs de Darkside selon laquelle ils auraient cessé leurs activités ?
Selon certains experts, cette annonce pourrait être une arnaque. Quel est votre avis à ce sujet ?
Pensez-vous que ce sont les forces de l’ordre américaines qui ont saisi les infrastructures publiques de Darkside ?

Voir aussi :

Les pirates informatiques menacent de partager les données des informateurs de la police américaine, après qu'un Russe plaide coupable dans une affaire de rançongiciel visant Tesla
Colonial Pipeline a payé une rançon de près de 5 millions de dollars à des pirates informatiques, pour recevoir un logiciel de déchiffrement qui n'aurait pas servi
Colonial Pipeline cherchait à embaucher un responsable de la cybersécurité, avant que l'attaque par ransomware ne bloque ses activités
L'histoire étrange de l'inventeur du ransomware, la toute première attaque par ransomware a été lancée sur une disquette

[ormond94470]

Ils ont eu la rançon, plusieurs millions, ils se font oublier quelques temps, tu vis comme un roi quand tu passes du dollars au rouble... Qui va croire leur histoire de pression us...

[Sandra Coret]

L’attaque de DarkSide sur l'un des plus gros oléoducs de la Colonial Pipeline, vue par Vladimir Kuskov, Head of threat exploration au sein de Kaspersky

Récemment, l’un des plus gros oléoducs des États-Unis, géré par la société Colonial Pipeline s’est retrouvé paralysé, suite à une cyberattaque attribuée au groupe d’attaquants Darkside.

Vladimir Kuskov, Head of threat exploration, Kaspersky

Vladimir Kuskov commente :

DarkSide est un exemple typique de gang cybercriminel à la recherche de « gros gibier » avec pour objectif de gagner beaucoup d’argent. Le groupe travaille par le biais de programmes d'affiliation – ils proposent leur "produit" ransomware à des "partenaires" qui peuvent, à leur tour, acheter l'accès à des organisations à d'autres cybercriminels et l'utiliser pour déployer le ransomware.

Contrairement à d’autres groupes, DarkSide prétend avoir un code de conduite : ne pas s’attaquer aux hôpitaux, aux écoles, aux institutions gouvernementales et aux ONG. Fait intéressant, DarkSide a publié un commentaire sur leur site lundi. À en juger par la déclaration, ils ne s'attendaient apparemment pas à des conséquences de cette ampleur après la dernière attaque contre Colonial Pipeline et ils prévoient dorénavant d'introduire une sorte de "modération" afin d’éviter que ce genre de situation ne se reproduise.

Il existe deux versions du ransomware développé par DarkSide, un pour Windows et un pour Linux. Toutes deux sont dotées d’un schéma cryptographique sécurisé, de sorte que le décryptage ne peut se faire sans la clé du criminel. Par le passé, ils avaient commis une erreur en utilisant les mêmes clés pour plusieurs victimes ce qui avait permis aux sociétés de sécurité de créer un outil de décryptage pouvant aider les victimes à récupérer leurs fichiers sans payer la rançon. DarkSide a rapidement réagi à cette situation sur le forum darknet et a corrigé ce problème de sorte que les nouvelles victimes n'ont malheureusement plus cette option.
Les produits Kaspersky permettent de se prémunir du ransomware proposé par DarkSide et ont notamment détecté Trojan-Ransom.Win32.Darkside et Trojan-Ransom.Linux.Darkside.

Les attaques ciblées de ransomware sont devenues plus fréquentes ces deux dernières années. Il est aujourd’hui essentiel pour les entreprises de renforcer leur protection et celle de leurs réseaux afin de limiter les risques.

Voici quelques conseils :

• Ne pas exposer les services de bureau à distance aux réseaux publics, sauf en cas d'absolue nécessité, et de toujours utiliser des mots de passe forts pour ces services ;
  
  
• Installer rapidement les correctifs disponibles pour les solutions VPN fournissant un accès aux salariés distants et faisant office de passerelles dans son réseau ;
  
  
• Garder toujours les logiciels à jour sur tous les appareils utilisés pour empêcher les ransomwares d'exploiter les vulnérabilités.
  

En outre, il est capital de concentrer la stratégie de défense sur la détection des mouvements latéraux et sur l'exfiltration des données vers Internet, et d’accorder une attention particulière au trafic sortant pour détecter les potentielles connexions des cybercriminels. L’utilisation de solution EDR (Endpoint Detection Response) et/ou MDR (Managed Detection Response) telles que Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response) permettent d’identifier et de stopper l'attaque dès le début du processus, avant que les attaquants n'atteignent leurs objectifs finaux.


Source : Kaspersky

Et vous ?

Que pensez-vous de cette analyse ? Est-elle pertinente ?
Comment sont gérées les menaces et attaques de ransomware au sein de votre organisation ?

Voir aussi :

Ransomwares ciblés : les attaques contre les organisations ayant une forte notoriété ont quasiment été multipliées par huit, soit 767 %, entre 2019 et 2020, selon le dernier rapport de Kaspersky

Kaspersky dévoile 5 nouvelles méthodes utilisées par les gangs de ransomware aujourd'hui, qui ont désormais recours à des attaques plus ciblées

[Stéphane le calme]

Les pirates derrière la récente attaque de ransomware Colonial Pipeline ont reçu un total de 90 millions de dollars
en paiement de rançon Bitcoin avant d'arrêter leurs activités

DarkSide, le groupe de hackers à l'origine de la récente attaque de ransomware Colonial Pipeline, a reçu un total de 90 millions de dollars en paiements de rançon Bitcoin avant de fermer la semaine dernière, selon une nouvelle étude.

Colonial Pipeline a été victime de l'une des attaques de ransomware les plus médiatisées de son histoire, qui a entraîné la fermeture d'une artère vitale utilisée pour acheminer l'essence, le diesel et le kérosène des raffineries de la côte du Golfe du Mexique vers les points de distribution de la côte Est. Les opérateurs du ransomware Darkside seraient responsables de l'attaque. La société d'informatique Secureworks estime que les criminels basés en Russie (qu'elle a baptisé Gold Waterfall) opèrent depuis le mois d'août de l'année dernière sous la forme d'une opération d'affiliation basée sur des commissions, et qu'ils sont une émanation de la célèbre équipe de ransomware Revil. « Darkside ransomware semble avoir été créé indépendamment de REvil ou GandCrab, mais présente plusieurs similitudes architecturales qui suggèrent que l'auteur de Darkside est familier à ces familles », indique Secureworks dans un compte rendu de recherche.

Colonial Pipeline aurait versé près de 5 millions de dollars en bitcoins au groupe de pirates qui l'a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service.

Une fois qu'ils ont reçu le paiement, les pirates ont fourni à l'opérateur un outil de déchiffrement pour restaurer son réseau informatique désactivé. L'outil était si lent que la société a continué à utiliser ses propres sauvegardes pour aider à restaurer le système, a déclaré l'une des personnes au courant des efforts de la société.

DarkSide exploite ce que l'on appelle un modèle commercial de « ransomware en tant que service », ce qui signifie que les pirates développent et commercialisent des outils de ransomware et les vendent à d'autres criminels qui effectuent ensuite des attaques. Le ransomware est un type de logiciel malveillant conçu pour bloquer l'accès à un système informatique. Les pirates exigent un paiement de rançon – généralement une cryptomonnaie – en échange de la restauration de l'accès.

Selon une annonce, qui a été examinée par les sociétés de cybersécurité Intel 471 et Recorded Future, le groupe a écrit : « Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure ». Les actifs perdus comprennent le blog du groupe, qui est hors service depuis jeudi, son serveur de paiement, qui recevait des fonds en cryptomonnaies de la part des victimes, et le réseau de diffusion de contenu (CDN) des données volées.

Le communiqué de DarkSide précise également que « le service d'assistance à l'hébergement ne fournit aucune information, sauf à la demande des autorités chargées de l'application de la loi ». « Quelques heures après le retrait, les fonds du serveur de paiement (les nôtres et ceux des clients) ont été envoyés à une adresse inconnue », a écrit "Darksupp", l'opérateur de DarkSide, dans le message en langue russe. L’opérateur a déclaré qu'ils allaient délivrer des outils de déchiffrement à tous leurs affiliés pour les cibles qu'ils ont attaquées, et a promis de compenser toutes les obligations financières en suspens d'ici le 23 mai 2021.

Dans la même publication, Darksupp indique que le groupe cesse toutes les opérations de son programme de ransomware, qui était loué à d'autres cybercriminels pour être utilisé. « Au vu de ce qui précède et en raison de la pression exercée par les États-Unis, le programme d'affiliation est fermé. Restez en sécurité et bonne chance », ajoute la publication, selon la traduction en anglais de la société de sécurité Intel471.

Ces déclarations suggèrent que les forces de l'ordre ont saisi l'infrastructure informatique du groupe et ses revenus en cryptomonnaies. Le jour même où Darksupp a déclaré avoir perdu l'accès, le président Biden a déclaré que les États-Unis « prendraient des mesures pour perturber » la capacité du groupe de ransomware à opérer. Biden a également appelé la Russie – où les services de renseignement américains pensent que le groupe DarkSide est basé – à traquer les attaquants. « Nous avons été en communication directe avec Moscou au sujet de l'impératif pour les pays responsables de prendre des mesures décisives contre ces réseaux de ransomware », a déclaré le président américain.

Dans un billet de blog publié mardi, Elliptic a déclaré que DarkSide et ses affiliés avaient empoché au moins 90 millions de dollars en paiements de rançon bitcoin au cours des neuf derniers mois de 47 victimes. Le paiement moyen des organisations était probablement de 1,9 million de dollars, a déclaré Elliptic.

« Au total, un peu plus de 90 millions de dollars en paiements de rançon Bitcoin ont été effectués à DarkSide, provenant de 47 portefeuilles distincts. Selon DarkTracer, 99 organisations ont été infectées par le malware DarkSide – ce qui suggère qu'environ 47 % des victimes ont payé une rançon et que le paiement moyen était de 1,9 million de dollars.

« Le graphique ci-dessous montre la valeur totale et le nombre de paiements de rançon effectués à DarkSide au cours des neuf derniers mois. Le mois de mai devait être un mois record, jusqu'à ce que DarkSide cesse ses opérations le 13 mai et que son portefeuille Bitcoin soit vidé ».

« DarkSide est un exemple de "Ransomware as a Service" (RaaS). Dans ce modèle d'exploitation, le malware est créé par le développeur du ransomware, tandis que l'affilié du ransomware est responsable de l'infection du système informatique cible et de la négociation du paiement de la rançon avec l'organisation victime. Ce nouveau modèle commercial a révolutionné les ransomwares, les ouvrant à ceux qui n'ont pas la capacité technique de créer des logiciels malveillants, mais qui sont prêts et capables de s'infiltrer dans une organisation cible.

« Tout paiement de rançon effectué par une victime est ensuite partagé entre l'affilié et le développeur. Dans le cas de DarkSide, le développeur prendrait 25 % pour les rançons inférieures à 500 000 dollars, mais cela diminue à 10 % pour les rançons supérieures à 5 millions de dollars. Cette division du paiement de la rançon est très claire à voir sur la blockchain, les différentes actions étant destinées à séparer les portefeuilles Bitcoin contrôlés par l'affilié et le développeur. Au total, le développeur DarkSide a reçu des bitcoins d'une valeur de 15,5 millions de dollars (17 %), les 74,7 millions de dollars restants (83 %) allant aux différents affiliés ».

Bitcoin a acquis une réputation pour son utilisation dans des activités criminelles, car les personnes effectuant des transactions avec la cryptomonnaie n'ont pas à révéler leur identité. Cependant, le grand livre numérique qui sous-tend le bitcoin est public, ce qui signifie que les chercheurs peuvent retracer où les fonds sont envoyés.

Le piratage de Colonial Pipeline faisait partie d'une série d'attaques de ransomwares qui ont fait les gros titres la semaine dernière. Une division du conglomérat japonais Toshiba a déclaré que son unité européenne avait été piratée, attribuant l'attaque à DarkSide, tandis que le service de santé irlandais a également été touché par une attaque de ransomware. Mercredi, le président Joe Biden a signé un décret visant à renforcer les défenses américaines en matière de cybersécurité.

Le décret de 34 pages intitulé "Executive Order on Improving the Nation's Cybersecurity" (décret sur l'amélioration de la cybersécurité de la nation) vise à moderniser les défenses de cybersécurité de l'infrastructure du gouvernement fédéral, à créer un guide normalisé de réponse aux incidents et à améliorer la communication entre les fournisseurs de services et les forces de l'ordre.

En résumé, le décret ordonnera au gouvernement d'effectuer les actions suivantes :

• exiger des fournisseurs de services IT (technologie de l'information) et OT (technologie opérationnelle), y compris les fournisseurs d'hébergement en cloud, qu'ils partagent les informations sur les menaces et les brèches de cybersécurité dont ils ont connaissance et qu'ils suppriment les problèmes contractuels qui empêchent le partage de ces informations ;
• moderniser les services informatiques du gouvernement fédéral, notamment en passant à une architecture de confiance zéro, en exigeant une authentification multifactorielle, le chiffrement des données au repos et en transit, et en élaborant des directives de sécurité strictes sur l'utilisation des services en cloud ;
• améliorer la sécurité de la chaîne d'approvisionnement en élaborant des lignes directrices, des outils et des meilleures pratiques pour vérifier et garantir que les logiciels essentiels ne sont pas altérés par des acteurs malveillants lors d'attaques de la chaîne d'approvisionnement. Dans le cadre de cette initiative, le gouvernement fédéral créera un programme de type "energy star" qui montrera que les logiciels ont été développés en toute sécurité ;
• créer un « comité d'examen de la cybersécurité » composé de membres du gouvernement fédéral et du secteur privé qui se réunira après un cyberincident important pour évaluer l'attaque, formuler des recommandations et partager les informations confidentielles pertinentes avec les forces de l'ordre ;
• créer un guide standardisé pour toutes les agences gouvernementales afin de répondre aux brèches et aux cyberattaques ;
• améliorer la détection et la correction des vulnérabilités et des brèches de cybersécurité sur les réseaux gouvernementaux en déployant une solution centralisée de détection et de réponse aux points d'extrémité et en partageant les informations intergouvernementales.

Source : Elliptic

Voir aussi :

Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer", et appelle à l'action
Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

[marsupial]

Business particulièrement lucratif et on s'étonne de voir autant d'attaques chaque jour.

[Invité]

Je pensais naïvement que les pirates qui trempent dans ce genre de business étaient suffisamment malins pour ne pas s'en prendre à des entités ayant leurs entrées dans les agences de renseignement US. Ça n'est visiblement pas le cas.

[Stan Adkens]

Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques,
« C'était la bonne chose à faire pour le pays »

Selon des rapports la semaine dernière, Colonial Pipeline aurait payé une rançon de près de 5 millions de dollars, une nouvelle surprenante – non pas pour la somme versée, mais parce que le paiement de rançons aux cybercriminels est mal vu par les agences fédérales américaines d'application de la loi. Si le paiement est confirmé, le montant est un peu différent. Le PDG du plus grand réseau américain de pipeline de produits pétroliers, Joseph Blount, a confirmé que sa société avait effectivement versé 4,4 millions de dollars aux pirates informatiques responsables de l'attaque par ransomware de l’oléoduc qui transporte environ 45 % du carburant utilisé sur la côte Est.

La cyberattaque contre Colonial – qui a été révélée à l'aube du 7 mai lorsqu'un employé a trouvé une demande de rançon de la part des cybercriminels sur un ordinateur de la salle de contrôle – a été attribuée par les autorités américaines à une bande de pirates informatiques qui opèrent avec le ransomware DarkSide. Le groupe russophone, qui serait basé en Europe de l'Est, se spécialise dans l'élaboration des logiciels malveillants utilisés pour pénétrer dans les systèmes et les met à la disposition de ses affiliés, en échange d'une partie des rançons obtenues.

La situation avec Colonial Pipeline était d’autant plus compliquée que Colonial Pipeline elle-même est responsable de la fermeture de son réseau de transport. Selon Blount, les systèmes opérationnels de la société n'ont pas été directement touchés, mais elle a mis hors service l'infrastructure énergétique critique afin de pouvoir déterminer jusqu'où les pirates ont pu pénétrer dans son système. Avant la confirmation mercredi, CNN et la journaliste Kim Zetter, spécialiste de la cybersécurité, avaient suggéré que les pirates avaient spécifiquement accès au système de facturation de la société, plutôt que de contrôler directement le pipeline lui-même.

Le PDG de Colonial Pipeline dit avoir autorisé le paiement de la rançon, d'un montant de 4,4 millions de dollars, parce que les dirigeants n'étaient pas sûrs de la gravité de la cyberattaque qui avait porté atteinte à ses systèmes ni du temps qu'il faudrait pour remettre le pipeline en état. Blount a reconnu publiquement qu'il s'agissait d'une option qu'il estimait devoir utiliser, compte tenu des enjeux liés à la fermeture d'une infrastructure énergétique aussi essentielle.

« Je sais que c'est une décision très controversée », a déclaré Blount dans ses premières remarques publiques depuis le piratage informatique. « Je ne l'ai pas prise à la légère. J'admets que je n'étais pas à l'aise de voir de l'argent partir vers des gens comme ça ». Il poursuit en disant que « c'était la bonne chose à faire pour le pays ».

« Cette décision n'a pas été prise à la légère », mais elle devait être prise, a déclaré un porte-parole de la société. « Des dizaines de millions d'Américains comptent sur Colonial – les hôpitaux, les services médicaux d'urgence, les forces de l'ordre, les services d'incendie, les aéroports, les chauffeurs routiers et les voyageurs ».

Un ransomware est un type de code qui prend les systèmes informatiques en otage et exige un paiement pour débloquer les fichiers. Depuis des années, le FBI conseille aux entreprises de ne pas payer lorsqu'elles sont touchées et font face à une demande de rançon. Selon les autorités, cela reviendrait à soutenir un marché criminel en plein essor. Cependant, de nombreuses entreprises, municipalités et autres entités affaiblies par les attaques paient, estimant que c'est le seul moyen d'éviter des perturbations coûteuses de leurs activités. Mais certaines ont refusé de se soumettre aux exigences de paiement des cybercriminels pour récupérer leurs dossiers.

Suite au paiement, la société aurait reçu un logiciel de déchiffrement pour déverrouiller les systèmes dans lesquels les pirates ont pénétré. Si cet outil s'est avéré d'une certaine utilité, il n'a finalement pas suffi à rétablir immédiatement les systèmes du pipeline, ont rapporté la semaine dernière des personnes informées de la réponse de Colonial à l’attaque.

L'oléoduc a été fermé pendant six jours, mais Colonial a fini par le remettre en service il y a une semaine. Cependant, il a fallu du temps pour reprendre un programme de livraison complet, et la panique des achats a entraîné des pénuries d'essence. Selon Gasbuddy.com, qui suit les prix des carburants et les pannes dans les stations-service, plus de 9 500 stations-service étaient en rupture de stock mercredi, dont la moitié à Washington et 40 % en Caroline du Nord.

Le choix impossible dont font face les victimes d'attaques par ransomware

La crise a été un test de leadership pour Blount qui dirige l'entreprise depuis 2017. Il avait cofondé en 2013 la société de pipeline Century Midstream LLC, financée par des fonds d'investissement privés, après avoir travaillé comme cadre et occupé d'autres fonctions dans des entreprises du secteur de l'énergie au cours d'une carrière de près de 40 ans. Au cours des cinq dernières années, Blount a déclaré que Colonial a investi environ 1,5 milliard de dollars dans le maintien de l'intégrité de son réseau de pipelines de 5 500 miles, et a dépensé 200 millions de dollars en informatique.

Pour Blount, la cyberattaque s'apparente aux ouragans de la côte du golfe du Mexique qui obligent souvent à fermer des segments de pipelines et de raffineries pendant des jours ou des semaines. Cependant, elle a été, à certains égards, plus dévastatrice. Colonial Pipeline n'avait encore jamais été fermé d'un seul coup, a-t-il déclaré.

Pendant que Colonial fermait le pipeline, les employés ont reçu l'ordre de ne pas se connecter au réseau de l'entreprise, et les dirigeants ont passé une série d'appels téléphoniques aux autorités fédérales, en commençant par les bureaux du FBI à Atlanta et à San Francisco, ainsi qu'un représentant de la Cybersecurity and Infrastructure Security Agency, ou CISA, a déclaré Blount. Les responsables de la CISA ont confirmé que des représentants de Colonial les ont informés du piratage peu après que l'incident se soit produit.

Au cours des jours suivants, le département de l'Energie a fait office de canal par lequel Colonial a pu fournir des mises à jour aux multiples agences fédérales impliquées dans la réponse, a déclaré Blount. La secrétaire d'État à l'énergie, Jennifer Granholm, et le secrétaire adjoint, David Turk, sont restés en contact régulier avec la société, en partie pour « obtenir des informations afin de guider la réponse fédérale », a déclaré le porte-parole du département de l'Energie, Kevin Liao.

Colonial a fait appel au groupe de cybersécurité FireEye pour l'aider à enquêter et à réagir au piratage. Sandra Joyce, vice-présidente exécutive de Mandiant Threat Intelligence de FireEye, a souligné le choix impossible qui s'offre aux victimes d'attaques par ransomware, qui, au cours de l'année écoulée, ont concerné de plus en plus d'organisations critiques telles que des administrations municipales, des écoles et des hôpitaux.

« Les ransomwares placent les organisations dans une situation impossible », a déclaré Joyce. « Si vous êtes un hôpital victime d'un ransomware et qu'ils demandent une certaine somme d'argent généralement en cryptomonnaie, alors vous avez le choix entre traiter vos patients ou ne pas les traiter, et personne ne devrait jamais être dans cette situation et c'est exactement ce à quoi les organisations sont confrontées ». « Est-ce que je laisse toutes mes données clients se répandre, est-ce que je libère mon code source dans la nature ? », a ajouté Joyce.

Bien que le flux de carburant du pipeline soit revenu à la normale, l'impact du piratage ne s'est pas arrêté au paiement de la rançon. Il faudra des mois de travaux de restauration pour récupérer certains systèmes commerciaux, ce qui coûtera finalement des dizaines de millions de dollars à Colonial, a déclaré Blount, notant que la société n'est toujours pas en mesure de facturer ses clients à la suite d'une panne de ce système.

Une autre perte coûteuse, a noté Blount, a été le niveau d'anonymat préféré de la société. « Nous étions parfaitement heureux que personne ne sache qui était Colonial Pipeline, et malheureusement ce n'est plus le cas », a-t-il dit. « Tout le monde dans le monde le sait ».

Les pirates informatiques responsables de l'attaque contre Colonial se sont étrangement excusés que leur ransomware ait causé autant de problèmes, même s'ils ont finalement obtenu ce qu'ils voulaient. « Notre objectif est de gagner de l'argent et non de créer des problèmes pour la société », a écrit le groupe dans une déclaration. Malgré tout, des pénuries de carburant ont suivi.

Selon une annonce publiée par les acteurs derrière DarkSide il y a une semaine et qui a été examinée par les sociétés de cybersécurité Intel 471 et Recorded Future, le groupe dit avoir perdu accès à son infrastructure publique, y compris le blog du groupe, qui est hors service depuis jeudi dernier, son serveur de paiement, qui recevait des fonds en cryptomonnaies de la part des victimes, et le réseau de diffusion de contenu (CDN) des données volées. « Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure », ont-ils dit dans leur message. Le groupe dit avoir cessé ses activités, mais les experts pensent que c'est une stratégie pour se faire oublier pendant un temps avant d'attaquer à nouveau.

Au lieu de payer les rançons, un commentateur propose qu’« Il serait beaucoup moins coûteux d'effectuer des sauvegardes régulières avec un stockage hors réseau et/ou de s'appuyer davantage sur l'intranet pour les programmes critiques ». Mais un autre répond en disant : « Aujourd'hui, la plupart des ransomwares sont des bots dormants qui restent sur le réseau pendant des semaines ou des mois avant de s'activer. Les sauvegardes sont inutiles, car vous ne savez pas jusqu'où remonter. Dans une grande organisation, une restauration de plus de quelques jours est catastrophique ». Et vous, qu’en pensez-vous ?

Et vous ?

Qu’en pensez-vous ?
Colonial a payé la rançon, mais la société n'est toujours pas en mesure d’utiliser l’ensemble de ses systèmes. Faut-il verser des rançons aux pirates informatiques ?
Comment les organisations devraient-elles se prémunir contre les attaques par ransomware ?

Voir aussi :

Les acteurs du ransomware Darkside ont cessé leurs activités, affirmant que leur infrastructure publique a été perturbée par un organisme d'application de la loi non spécifié
Les pirates derrière la récente attaque de ransomware Colonial Pipeline ont reçu un total de 90 millions de dollars, en paiements de rançons Bitcoin avant d'arrêter leurs activités
Colonial Pipeline a payé une rançon de près de 5 millions de dollars à des pirates informatiques, pour recevoir un logiciel de déchiffrement qui n'aurait pas servi
Une seconde ville de Floride décide de payer les hackers après une attaque de ransomware. En deux semaines la Floride a payé 1,1 million de dollars

[smarties]

Déjà, pour augmenter la sécurité au niveau des utilisateurs des bureaux, je mettrais une politique stricte et restreindrais les accès Windows car l'utilisateur lambda fait moyennement attention.
Je trouve aussi les partages réseaux dangereux car le poste client peut modifier directement les fichiers depuis sont poste.

L'idéal serait même d'avoir le majorité des postes utilisateurs Linux.
Peut être une suite type OnlyOffice pour restreindre les moyens d'accès/modification du document (donc via navigateur).

[Anselme45]

Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques,
« C'était la bonne chose à faire pour le pays »

Non! La bonne chose à faire est de ne pas connecter à internet des infrastructures vitales pour le pays.

Je viens d'avoir entre les mains le cahier des charges pour la réalisation de l'automation complète d'une station d'épuration. "Une station d'épuration", c'est à dire une "usine à merde" dont la fonction est de traiter les eaux usés de vos WC.

Et devinez quoi? Il est expressément précisé qu'aucune liaison externe n'est permise!

Pourquoi est-ce que certains prennent des mesures de sécurité pour les "usines à merde" alors que d'autres ne les prennent pas pour une centrale nucléaire???

Est-ce que, avant l'an 2000 et la généralisation d'internet, les pipelines fonctionnaient avec des gentils ouvriers qui livraient le pétrole en se promenant avec un sceau dans chaque main?

[Stan Adkens]

Des pirates informatiques auraient accédé au réseau de Colonial Pipeline en utilisant un mot de passe compromis,
Obtenu potentiellement sur le dark web

Selon une société de cybersécurité engagée par Colonial Pipeline dans le cadre de la réponse à l’attaque par ransomware, des pirates informatiques ont accédé aux réseaux du plus grand oléoduc des États-Unis en avril à l'aide d'un mot de passe compromis. Ce qui a entraîné la fermeture délibérée de la société de distribution de carburant et la panique qui a suivi pendant plusieurs jours. Le mot de passe était lié à un compte de réseau privé virtuel désaffecté qui était utilisé pour l'accès à distance, a confirmé le vice-président senior de Mandiant – la division criminalistique de FireEye. Le compte en question n'était pas non plus protégé par une couche de sécurité supplémentaire connue sous le nom d'authentification multifacteur.

Tout s'est joué sur un mot de passe. C'est la conclusion de Charles Carmakal de Mandiant, chargé par Colonial Pipeline de découvrir comment les pirates ont pu mettre hors service le plus grand pipeline de carburant du pays, lors d’une interview. Selon l’expert en cybersécurité, les pirates informatiques liés au groupe de cybercriminels opérateurs du ransomware DarkSide ont utilisé un seul mot de passe compromis sur un réseau privé virtuel (VPN), accédant aux serveurs de Colonial le 29 avril par le biais d'un compte qui n'était plus utilisé, mais qui pouvait encore accéder aux réseaux de la société.

La façon dont les attaquants ont obtenu le mot de passe compromis n'est pas claire. Mais la révélation de la façon dont les pirates ont pu mettre à genoux une entreprise de la chaîne d'approvisionnement critique avec quelque chose d'aussi simple souligne les risques graves posés non seulement par les cybercriminels opportunistes, mais aussi par le manque d'hygiène numérique de certaines grandes entreprises américaines.

La cyberattaque contre Colonial – qui a été révélée à l'aube du 7 mai lorsqu'un employé a trouvé une demande de rançon de la part des cybercriminels sur un ordinateur de la salle de contrôle – a été attribuée par les autorités américaines à une bande de pirates informatiques qui opèrent avec le ransomware DarkSide. Le groupe russophone, qui serait basé en Europe de l'Est, se spécialise dans l'élaboration des logiciels malveillants utilisés pour pénétrer dans les systèmes et les met à la disposition de ses affiliés, en échange d'une partie des rançons obtenues.

Comme de nombreux autres groupes de ransomware, DarkSide a ciblé de grandes organisations ayant des polices d'assurance cybernétique et d'énormes volumes de données sensibles sur les consommateurs qui les rendent plus susceptibles de payer une rançon, selon les experts en cybersécurité. Dans le cas de Colonial, son PDG Joseph Blount a déclaré avoir autorisé le paiement d'une rançon de 4,4 millions de dollars peu après le piratage. Les pirates avaient volé près de 100 gigaoctets de données de Colonial Pipeline et menaçaient de les divulguer si la rançon n'était pas payée.

Mais lors de sa première déclaration publique après l’attaque, Blount a dit avoir immédiatement autorisé le paiement de la rançon parce que les dirigeants n'étaient pas sûrs de la gravité de la cyberattaque qui avait porté atteinte à ses systèmes ni du temps qu'il faudrait pour remettre le pipeline en état. Blount a reconnu publiquement qu'il s'agissait d'une option qu'il estimait devoir utiliser, compte tenu des enjeux liés à la fermeture d'une infrastructure énergétique aussi essentielle.

La semaine prochaine, Blount doit témoigner devant les commissions de la sécurité intérieure du Sénat et de la Chambre des représentants, où il devrait être pressé de fournir des détails sur la chronologie de l'attaque et la réponse de Colonial. Le ministère américain de la Justice a récemment annoncé qu'il prévoyait d'accorder aux affaires de ransomware – semblables à celle lancée contre la société Colonial Pipeline basée en Géorgie le mois dernier – la même priorité qu'aux affaires de terrorisme.

Un compte VPN n’utilisant pas l'authentification multifacteur a facilité l’accès

Carmakal a noté lors de l’interview que le mot de passe en question aurait été trouvé parmi d'autres mots de passe divulgués sur le dark web, cela suggère qu'un employé de Colonial peut avoir utilisé le même mot de passe d’un compte Colonial dormant sur un autre compte qui a été piraté précédemment, a-t-il ajouté. Carmakal a ajouté toutefois qu'il n'est pas sûr à 100 % que le dark web est la source du mot de passe dans cette attaque particulière, notant que cette source pourrait ne jamais être découverte.

Dans un précédent rapport, CNN a rapporté que le jour où l'incident a été signalé, la « porte de Colonial était grande ouverte », selon une source familière avec les cyberdéfenses de l'entreprise. Les mots de passe constituaient une vulnérabilité particulière, selon la source. Colonial Pipeline n'a pas donné de détails spécifiques sur son protocole de sécurité des mots de passe au moment de l'attaque par ransomware, mais a déclaré que le processus de réinitialisation des mots de passe et les normes de complexité sont automatisés.

Après une "recherche assez exhaustive", Carmakal note qu'il n'est pas clair non plus comment les pirates ont mis la main sur le nom d'utilisateur compromis qui accompagnait le mot de passe, car ils auraient pu le trouver dans une fuite ou simplement expérimenter jusqu'à ce qu'ils le trouvent par eux-mêmes. Ce qui est inquiétant du point de vue de la cybersécurité, c'est que le compte VPN maintenant désactivé ne bénéficiait pas de l'authentification multifacteur, une couche de protection de base qui aurait exigé plus qu'un nom d'utilisateur et un mot de passe pour accéder au réseau.

« Ils n'ont pas mis en œuvre l'authentification multifacteur sur leurs VPN. Il s'agit de l'un des vecteurs d'attaque les plus courants. Les VPN à eux seuls ne suffisent pas », a déclaré un commentateur.

« Nous avons effectué une recherche assez exhaustive de l'environnement pour essayer de déterminer comment ils ont obtenu ces informations d'identification », a déclaré Carmakal. « Nous ne voyons aucune preuve d'hameçonnage pour l'employé dont les informations d'identification ont été utilisées. Nous n'avons pas vu d'autres preuves de l'activité de l'attaquant avant le 29 avril ».

Mandiant a balayé le réseau pour comprendre jusqu'où les pirates avaient pu s'aventurer, tout en installant de nouveaux outils de détection qui alerteraient Colonial en cas d'attaques ultérieures, ce qui n'est pas rare après une violation importante, selon Carmakal. Les enquêteurs n'ont trouvé aucune preuve que le même groupe de pirates a tenté de reprendre l'accès.

Selon Carmakal, Mandiant a également suivi les mouvements des pirates sur le réseau afin de déterminer dans quelle mesure ils ont pu compromettre les systèmes adjacents au réseau d'ordinateurs qui contrôle le flux de carburant. Si les pirates se sont effectivement déplacés au sein du réseau informatique de la société, selon Carmakal, rien n'indiquait qu'ils étaient en mesure de pénétrer dans les systèmes technologiques opérationnels plus critiques, a-t-il déclaré. Ce n'est qu'après que Mandiant et Colonial ont pu déterminer de manière concluante que l'attaque avait été contenue qu'ils ont envisagé de rouvrir leur pipeline, a déclaré Blount qui a participé à l’interview le vendredi.

La nouvelle de la source de l’attaque intervient à la suite d'une autre cyberattaque lancée le week-end dernier contre JBS SA, la plus grande usine de transformation de viande au monde. Les responsables de la Maison-Blanche pensent que des hackers basés en Russie sont à l'origine des deux attaques par ransomware. Alors que les usines de JBS se remettent en marche après la fermeture de tous les abattoirs américains de la société, l'impact de la cyberattaque sur les consommateurs et les restaurants n'a pas encore été pleinement ressenti.

REvil, le groupe de pirates lié à la Russie que le FBI a déclaré responsable de la cyberattaque de JBS, est devenu l'un des groupes de ransomware les plus prolifiques – et les plus connus – de ces dernières années. Les attaques par ransomware sont devenues un problème épineux pour l'administration Biden, notamment après l'attaque de Colonial Pipeline.

Le ministère américain de l'Agriculture a déclaré dans un communiqué mardi soir qu'il « continue de travailler en étroite collaboration avec la Maison-Blanche, le ministère de la Sécurité intérieure, JBS USA et d'autres pour suivre de près cette situation et offrir de l'aide et de l'assistance pour atténuer tout problème potentiel d'approvisionnement ou de prix ».

Colonial aurait engagé Rob Lee, fondateur et directeur général de Dragos Inc, une société de cybersécurité spécialisée dans les systèmes de contrôle industriels, et John Strand, propriétaire et analyste de sécurité de Black Hills Information Security, pour le conseiller sur ses cyberdéfenses et l'aider à éviter de futures attaques.

À la suite de l'attaque contre son entreprise, Blount a déclaré qu'il aimerait que le gouvernement américain s'attaque aux pirates informatiques qui ont trouvé refuge en Russie. « En fin de compte, le gouvernement doit se concentrer sur les acteurs eux-mêmes. En tant qu'entreprise privée, nous n'avons pas la capacité politique de fermer les pays hôtes qui abritent ces mauvais acteurs ».

Source : Mandiant

Et vous ?

Qu’en pensez-vous ?
Que pensez-vous de la déclaration de Mandiant selon laquelle le mot de passe aurait été trouvé sur le dark Web ?
Que pensez-vous du fait que Colonial n’utilisait pas l'authentification multifacteur sur leurs VPN ?

Voir aussi :

Les USA vont désormais traiter les attaques aux rançongiciels avec la même priorité que les cas de terrorisme, en leur appliquant pour la première fois le même modèle d'investigation
Colonial Pipeline cherchait à embaucher un responsable de la cybersécurité, avant que l'attaque par ransomware ne bloque ses activités
Comment les acteurs des ransomwares ajoutent des attaques DDoS à leur arsenal, pour augmenter la pression sur les victimes
Axio étend Axio360, un outil gratuit qui permet aux entreprises d'évaluer leur niveau de vigilance face aux ransomwares

[Stan Adkens]

Le DOJ saisit 2,3 millions de dollars en cryptomonnaie versés aux opérateurs du ransomware Darkside,
Grâce à une "clé privée" dont dispose le FBI

Plus tôt en mai, Colonial Pipeline a été victime d'une attaque par ransomware très médiatisée qui a entraîné la mise hors service de certaines parties de son infrastructure et provoqué des perturbations de l'approvisionnement en essence et en kérosène sur la côte Est des États-Unis. La société a entrepris de signaler très tôt au FBI que des cybercriminels avaient accédé à son réseau informatique et qu'une rançon d’environ 75 bitcoins avait été payée. Un mois après l’attaque, le ministère américain de la Justice a déclaré lundi avoir récupéré 63,7 des 75 bitcoins que Colonial Pipeline avait versés à DarkSide, un syndicat russophone de ransomware-as-a-service. Une opération de tracking et une "clé privée" dont dispose le FBI auraient aidé dans la réussite de la saisie.

Le 7 mai, le gang de ransomware DarkSide a lancé son attaque contre Colonial, qui a finalement payé environ 4,4 millions de dollars à ses bourreaux. La société a déclaré que les attaquants n'avaient touché que ses réseaux informatiques professionnels, et non les systèmes de sécurité et de sûreté de ses pipelines, mais qu'elle avait quand même fermé le pipeline par précaution. Le 14 mai, le représentant de DarkSide a publié sur plusieurs forums de cybercriminalité en langue russe un message indiquant que le groupe mettait fin à ses activités, ajoutant que ses serveurs Internet et sa réserve de cryptomonnaies avaient été saisis par des entités d'application de la loi inconnues.

Le communiqué du DoJ de lundi est conforme aux déclarations faites par Darkside, alors que le FBI a pu saisir 2,3 millions de dollars versés aux auteurs du ransomware grâce à des efforts coordonnés par l'intermédiaire de la Ransomware and Digital Extortion Task Force du ministère, qui a été créée pour lutter contre le nombre croissant d'attaques par ransomware et extorsion numérique.

La somme récupérée représente environ la moitié des 4,4 millions de dollars que Colonial Pipeline a versés aux membres du groupe de cybercriminels, a déclaré le PDG de la société dans une interview le mois dernier. L'outil de déchiffrement de DarkSide était largement connu pour être lent et inefficace, mais Colonial a tout de même payé la rançon. Dans l'interview, le PDG Joseph Blount a confirmé que les lacunes de l'outil ont empêché la société de l'utiliser et qu'elle a dû reconstruire son réseau par d'autres moyens.

Toutefois, cette saisie est remarquable, car c'est l'une des rares fois où une victime de ransomware a récupéré les fonds qu'elle avait versés à son agresseur. Les responsables du ministère de la Justice comptent sur cette réussite pour supprimer l'une des principales motivations des attaques par ransomware, à savoir les millions de dollars que les attaquants peuvent gagner.

« Aujourd'hui, nous avons privé une entreprise cybercriminelle de l'objet de son activité, de son produit financier et de son financement », a déclaré le directeur adjoint du FBI, Paul M. Abbate, lors d'une conférence de presse. « Pour les cybercriminels motivés financièrement, en particulier ceux qui sont vraisemblablement situés à l'étranger, couper l'accès aux revenus est l'une des conséquences les plus importantes que nous puissions imposer ».

Colonial avait pris des mesures précoces pour informer le FBI et suivi des instructions qui ont aidé les enquêteurs à suivre le paiement jusqu'à un portefeuille de cryptomonnaies utilisé par les pirates, que l'administration Biden pense être située en Russie. Le mandat de saisie a été autorisé plus tôt lundi par le juge d'instance pour le District Nord de la Californie, Laurel Beeler.

« Suivre l'argent reste l'un des outils les plus basiques, mais les plus puissants, dont nous disposons », a déclaré lundi Lisa Monaco, procureur général adjoint, lors de l'annonce du DoJ. « Les paiements de rançon sont le carburant qui propulse le moteur de l'extorsion numérique, et l'annonce d'aujourd'hui démontre que les États-Unis utiliseront tous les outils disponibles pour rendre ces attaques plus coûteuses et moins rentables pour les entreprises criminelles ».

« Les extorqueurs ne verront jamais cet argent », a déclaré Stephanie Hinds, procureur américain par intérim pour le District Nord de la Californie, lors de la conférence de presse au ministère de la Justice lundi. « Les nouvelles technologies financières qui tentent d'anonymiser les paiements ne fourniront pas un rideau derrière lequel les criminels seront autorisés à faire les poches des Américains qui travaillent dur ».

Une "clé privée" ou mot de passe dont dispose le FBI a aidé à la saisie des bitcoins

« Comme l'indique la déclaration sous serment, en examinant le grand livre public de Bitcoin, les forces de l'ordre ont pu suivre de multiples transferts de bitcoins et identifier qu'environ 63,7 bitcoins, représentant le produit du paiement de la rançon par la victime, avaient été transférés à une adresse spécifique, pour laquelle le FBI possède la "clé privée", ou l'équivalent approximatif d'un mot de passe nécessaire pour accéder aux actifs accessibles à partir de l'adresse Bitcoin spécifique. Ces bitcoins représentent le produit d'une intrusion informatique et des biens impliqués dans le blanchiment d'argent et peuvent être saisis en vertu des lois sur la confiscation pénale et civile », lit-on dans le communiqué publié lundi par le DoJ.

De précédents rapports ont fait savoir que les responsables américains recherchaient toutes les failles possibles dans la sécurité opérationnelle ou personnelle des pirates informatiques afin d'identifier les acteurs responsables. Les autorités auraient surveillé spécifiquement toute piste qui pourrait émerger de la façon dont ils déplacent leur argent. Dans une interview la semaine dernière, le directeur du FBI, Christopher Wray, a déclaré que la coordination entre les victimes de ransomware et les forces de l'ordre peut, dans certains cas, donner des résultats positifs pour les deux parties.

« Je ne veux pas suggérer que c'est la norme, mais il y a eu des cas où nous avons même été en mesure de travailler avec nos partenaires pour identifier les clés de chiffrement, ce qui permettrait ensuite à une entreprise de réellement déverrouiller ses données – même sans payer la rançon », a-t-il déclaré.

Selon Blount, sa société a fait ce qu’il fallait au bon moment, selon une déclaration publiée à la suite de l'annonce du DoJ.

« Lorsque Colonial a été attaqué le 7 mai, nous avons discrètement et rapidement contacté les bureaux locaux du FBI à Atlanta et San Francisco, ainsi que les procureurs de Californie du Nord et de Washington D.C. pour partager avec eux ce que nous savions à ce moment-là. Le ministère de la Justice et le FBI ont joué un rôle déterminant en nous aidant à comprendre les acteurs de la menace et leurs tactiques. Leurs efforts pour tenir ces criminels responsables et les traduire en justice sont louables », a déclaré Blount.

À la suite de l'attaque contre son entreprise, Blount avait déclaré qu'il aimerait que le gouvernement américain s'attaque aux pirates informatiques qui ont trouvé refuge en Russie. « En fin de compte, le gouvernement doit se concentrer sur les acteurs eux-mêmes. En tant qu'entreprise privée, nous n'avons pas la capacité politique de fermer les pays hôtes qui abritent ces mauvais acteurs ».

La semaine dernière, le ministère de la Justice a indiqué qu'il prévoyait de coordonner ses efforts de lutte contre les rançongiciels avec les mêmes protocoles que pour le terrorisme, à la suite d'une série de cyberattaques qui ont perturbé des secteurs d'infrastructure clé allant de la distribution d'essence à l'emballage de la viande. Cette dernière attaque par ransomware a renforcé la détermination de l'administration Biden à tenir Moscou responsable des cyberattaques coûteuses.

Dimanche, la secrétaire d'État à l'énergie, Jennifer Granholm, a prévenu que des « acteurs très malveillants » avaient les États-Unis dans leur ligne de mire après des attaques contre un oléoduc, des agences gouvernementales, un système d'approvisionnement en eau en Floride, des écoles, des établissements de soins de santé et, même la semaine dernière, l'industrie de la viande et un service de ferry.

Les cryptomonnaies sous le feu des projecteurs, alors que les autorités américaines luttent contre les attaques par ransomware

L'administration Biden s'est concentrée sur l'architecture moins réglementée des paiements en cryptomonnaies, qui permet un plus grand anonymat, alors qu'elle intensifie ses efforts pour perturber les attaques croissantes et de plus en plus destructrices de ransomware.

« L'utilisation abusive des cryptomonnaies est un facteur d'encouragement massif », a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale. « C'est ainsi que les gens en tirent de l'argent. Avec la montée de l'anonymat et l'amélioration des cryptomonnaies, la montée des services de mélange qui blanchissent essentiellement des fonds ».

L'effort de suivi est vaste, couvrant non seulement la poursuite par le DoJ des criminels de ransomware eux-mêmes, mais aussi les outils de cryptomonnaie qu'ils utilisent pour recevoir des paiements, les réseaux informatiques automatisés qui diffusent les ransomwares et les marchés en ligne utilisés pour faire de la publicité ou vendre des logiciels malveillants.

Les représentants du ministère de la Justice n'ont pas donné beaucoup de détails sur comment ils ont obtenu les bitcoins, si ce n'est qu'ils les ont saisis dans un portefeuille de bitcoins par le biais de documents judiciaires déposés dans le District Nord de la Californie. Si le FBI dispose réellement d'un moyen d'infiltrer les portefeuilles bitcoin et de récupérer leur contenu, il gardera certainement les détails de sa méthodologie très secrets. Bien sûr, cela signifie que les sociétés de ransomware vont rapidement se mettre à n'autoriser le paiement de la rançon que par des monnaies comme le monero.

Le succès des forces de l'ordre intensifie les spéculations selon lesquelles Colonial Pipeline aurait payé la rançon non pas pour avoir accès à un outil de déchiffrage qu'elle savait bogué, mais plutôt pour aider le FBI à suivre DarkSide et son mécanisme d'obtention et de blanchiment des rançons. Au cours de la conférence de lundi, les représentants du ministère de la Justice ont déclaré avoir retrouvé la trace de 90 victimes qui ont été touchées par DarkSide.

Source : Communiqué du DoJ

Et vous ?

Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Le FBI dit avoir été aidé par la "clé privée" d’une adresse spécifique où les bitcoins avaient été transférés. Qu’en pensez-vous ?
Le FBI possède-t-il un moyen secret d'infiltrer les portefeuilles bitcoin et de récupérer leur contenu, selon vous ?

Voir aussi :

Des pirates informatiques auraient accédé au réseau de Colonial Pipeline en utilisant un mot de passe compromis, obtenu potentiellement sur le dark web
Les USA vont désormais traiter les attaques aux rançongiciels avec la même priorité que les cas de terrorisme, en leur appliquant pour la première fois le même modèle d'investigation
Colonial Pipeline cherchait à embaucher un responsable de la cybersécurité, avant que l'attaque par ransomware ne bloque ses activités
Les pirates informatiques obligent Joe Biden à adopter une position plus agressive à l'égard de la Russie, suite au piratage du géant agroalimentaire JBS

[kain_tn]

« Les extorqueurs ne verront jamais cet argent », a déclaré Stephanie Hinds, procureur américain par intérim pour le District Nord de la Californie, lors de la conférence de presse au ministère de la Justice lundi. « Les nouvelles
technologies financières qui tentent d'anonymiser les paiements ne fourniront pas un rideau derrière lequel les criminels seront autorisés à faire les poches des Américains qui travaillent dur ».

Il faut arrêter de propager ce genre d'idées. On n'est pas anonyme en utilisant une blockchain.

Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?

Ah ça quand on s'en prend au pétrole, les états sortent les moyens.

Le FBI dit avoir été aidé par la "clé privée" d’une adresse spécifique où les bitcoins avaient été transférés. Qu’en pensez-vous ?

Soit ils l'ont récupérée physiquement (backdoor ou attaque physique), soit ils ont les moyens de casser le chiffrement actuel au niveau militaire - ce qui ne serait pas forcément étonnant. La conséquence si la dernière option était avérée par contre ce serait que le chiffrement actuel (HTTPS, VPN, etc) ne vaudrait plus tripette...

Une dernière possibilité (mais là ce serait gros) ce serait qu'ils aient organisé l'attaque ou infiltré le groupe qui l'a perpétrée, pour blâmer d'autres pays, ce qui expliquerait qu'ils aient des clés privées.

Le FBI possède-t-il un moyen secret d'infiltrer les portefeuilles bitcoin et de récupérer leur contenu, selon vous ?

[AoCannaille]

Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?

Je dirais juste qu'ils n'ont pas fait ça quand ces ransomware touchaient les SI des hopitaux...