Les États-Unis veulent mettre la main sur les pirates du groupe DarkSide. Il est accusé du piratage par ransomware de Colonial Pipeline, le principal réseau de distribution de carburant sur le territoire.

au sommaire

    En mai dernier, Colonial Pipeline, le principal réseau de distribution de carburants de l'Est américain, avait été paralysé par un ransomware. L'équipe de pirates qui avait lancé l'attaque portait le nom de DarkSide. Le groupe s'était confondu en excuses en raison des conséquences sociales engendrées par la cyberattaque. Depuis, les autorités américaines cherchent à identifier et à localiser les membres de ce groupe supposément basé en Russie. Pour parvenir à retrouver les personnes clés de DarkSide, ils procèdent avec un système de récompense dont le montant peut atteindre 10 millions de dollars. Le département d'État américain propose également une récompense de 5 millions de dollars pour des informations menant à l'arrestation, dans n'importe quel pays, de complices de DarkSide. Très ancré dans les coutumes en Amérique du Nord, ce système de récompenses n'est pas une nouveauté et le département d'État a indiqué qu'il avait déjà versé 135 millions de dollars de cette façon depuis sa création en 1986.

    Des groupes qui tombent, mais ne font pas trépasser les ransomwares

    Le niveau de ces récompenses pourrait bien pousser certains membres liés au groupe à les dénoncer, puisque dans ces milieux, l'argentargent reste la principale motivation. En attendant, la pressionpression de la part des forces de l'ordre de nombreux pays s'est intensifiée ces derniers mois. Ainsi, BlackMatter, une émanation de DarkSide, a déclaré jeter l'éponge en raison de cette pression. Ils ne laissent pas les victimes dans l'impasse et leur proposent des clés de déchiffrement sur demande.

    Mais cet affaiblissement des ténors du ransomware ne signifie pas pour autant une baisse de ce fléau. Selon McAffee, elles auraient augmenté de près de 70 % entre les deux derniers trimestres de 2020. Il faut dire que ce type d'attaque est toujours très rémunérateur si l'organisation est bien ciblée. Ainsi, le cabinet Wavestone estime à 5 % le règlement des rançons par les multinationales françaises. Les montants oscilleraient entre 100.000 et 2 millions d'euros.

    Cyberattaque du pipeline aux États-Unis : les auteurs du ransomware s’excusent !

    Article de Louis Neveu, publié le 11/05/2021

    Le groupe auteur du ransomwareransomware qui a visé le réseau de carburants de l'est américain se confond en excuses pour les conséquences sociales engendrées par la cyberattaque. Il souligne que leur objectif est simplement de faire de l'argent, mais pas d'intervenir sur la géopolitique.

    À la fin de la semaine dernière, aux États-Unis, le système informatique de gestion des oléoducsoléoducs de distribution de carburant raffiné était partiellement paralysé par un ransomware. Futura expliquait alors que l'attaque d'un secteur sensible comme celui du carburant était susceptible d'orienter son attribution vers des groupes de pirates affiliésaffiliés à un État-nation. Identifiée dès hier par le FBI comme provenant du jeune groupe de pirates DarkSide, la charge viralecharge virale a entraîné à la fois une hausse des cours du pétrole et une crainte de pénurie de carburant dans plusieurs régions. Une fois n'est pas coutume, le groupe auteur de ce ransomware s'est confondu en excuses sur le darknet, en raison des conséquences sociales engendrées par celui-ci.

    Les auteurs ont expliqué que leur objectif est de gagner de l'argent et non pas de causer des problèmes de société. DarkSide ajoute qu'ils ne sont en aucun cas liés à un État, sont apolitiques et ne s'intéressent pas à la géopolitique. Effectivement, pour ce qui est de la collecte de rançons, habituellement, leurs montants se situent sur une fourchette allant de 200.000 et 2 millions de dollars. Ils emploient un système de double extorsion bien rôdé qui consiste à menacer de rendre publiques les données collectées si la victime ne règle pas la rançon.

    Un groupe de cybercriminels ayant une éthique

    Par ailleurs, DarkSide aurait véritablement mis en place un code éthique interdisant les attaques contre les hôpitaux, les écoles, les universités, les organisations à but non lucratif et les agences gouvernementales. Le groupe a même proposé des dons de 20.000 dollars à plusieurs organisations caritatives. Celles-ci les ont refusés en raison de la provenance des fonds.

    Enfin, si ce ransomware qui circule depuis août 2020 provient bien de DarkSide, ce n'est pas forcément ce groupe qui l'a déployé pour viser la Colonial Pipeline. Le groupe vend son ransomware à d'autres groupes de hackers et il n'a pas le contrôle dessus. Il a d'ailleurs expliqué qu'il ferait désormais plus attention aux intentions de ses clients. Reste que si DarkSide n'est pas lié à un État-nation, son ransomware cible majoritairement les pays anglophones et évite de viser les pays associés aux anciennes nations du bloc soviétique russophones.

    États-Unis : une cyberattaque impacte un oléoduc et menace d’une pénurie de carburant

    Article de Louis Neveu, publié le 9/05/2021

    C'est la plus grosse cyberattaque contre une infrastructure américaine. Elle touche Colonial Pipeline, le plus gros opérateur d'oléoducs de distribution de carburant raffiné aux États-Unis. L'opérateur a dû couper ses lignes principales car ses systèmes sont neutralisés par un ransomware. Certaines régions pourraient connaître une pénurie de carburant.

    Après la cyberattaque massive envers SolarWinds visant à mener des opérations de cyberespionnage, la prise de contrôle d'une infrastructure vitale, comme celle d'une unité de traitement de l’eau, voici que ce sont maintenant les oléoducs de carburant aux États-Unis qui sont ciblés. Ces attaques ont toutes en commun de viser des secteurs stratégiques ou critiques. Cette fois, c'est le plus grand opérateur d'oléoducs, Colonial Pipeline qui a été victime des hackers. Ses 8.800 km de conduites acheminent du carburant raffiné (essence, diesel, kérosènekérosène) sur tout le territoire américain. C'est cet opérateur qui fournit 45 % du carburant de la côte Est. Et cette fois, la cyberattaque a eu un impact massif immédiat puisque, lorsqu'elle a été identifiée, l'opérateur a mis hors service plusieurs services essentiels pour atténuer son ampleur. Il ne s'agissait pas cette fois de prendre le contrôle du dispositif ou d'espionner, mais sans doute de neutraliser les installations avec un ransomware qui a chiffré les systèmes de l'opérateur.

    Colonial Pipeline Company relie les raffineries aux clients et aux marchés du sud et de l'est des États-Unis avec un réseau de pipelines qui s'étend sur plus de 8.800 km entre Houston, dans l'État du Texas, et Linden, au nord, dans le l'État du New Jersey. © Colonial Pipeline Company
    Colonial Pipeline Company relie les raffineries aux clients et aux marchés du sud et de l'est des États-Unis avec un réseau de pipelines qui s'étend sur plus de 8.800 km entre Houston, dans l'État du Texas, et Linden, au nord, dans le l'État du New Jersey. © Colonial Pipeline Company

    Une attaque en attente d’attribution

    C'est, à ce jour, l'attaque directe la plus importante ciblant un secteur sensible des États-Unis. Elle pourrait engendrer une pénurie de carburant dans plusieurs États du centre et du sud-est du pays selon les déclarations d'un expert auprès de l'AFP. D'après lui, tout va dépendre de la duréedurée de l'arrêt des systèmes. Si elle dépasse les cinq jours, la pénurie va toucher les stations-services et les aéroports régionaux. Cet arrêt commence déjà à avoir des répercutions sur les cours du pétrole en les augmentant. En attendant, Colonial Pipeline est en train de rouvrir ses canaux de distribution et exploite ses lignes secondaires pour remplacer les principales qui restent fermées.

    Pour le moment, personne ne s'est encore aventuré à attribuer officiellement l'attaque. Selon les informations de Reuters, il s'agirait d'un groupe de hackers récent, mais très organisé appelé DarkSide. Ce groupe pratique la double extorsion avec une exfiltration des données, puis la menace de les rendre publiques. Sur ses autres attaques, DarkSide cherche habituellement à compromette le contrôleur de domaine, autrement dit, le centre névralgique du réseau. Ensuite, il se déplace dans le réseau avant de déclencher sa charge et de générer l'impact le plus large possible.  

    Il ne s'agirait donc pas de hackers liés à un État, alors que le mode opératoire par ransomware rappelle celui de NotPetya en 2017. Le ransomware ciblait l'économie ukrainienne pour l'affaiblir et avait touché de grandes entreprises françaises comme Saint-Gobain, Renault ou Auchan. Pour cette attaque, les regards se tournaient alors vers le Kremlin. Dans le cas de SolarWinds, le président Joe Biden a formellement attribué l'attaque aux Russes et a engagé des sanctions contre le pays.