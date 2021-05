Dans la cascade apparemment interminable de gros titres sur les hacks, les violations de données et les attaques de ransomwares comme celle de ce week-end exécutée par un gang criminel russe contre un important pipeline de carburant américain, les méchants apparaissent souvent comme une sorte de sans visage, presque … menace anonyme. Par rapport à presque tous les autres moments où les journalistes écrivent sur le crime, de véritables personnages en chair et en os émergent généralement – que ce soit sous la forme de clichés, de détails d’arrestation ou de témoignages oculaires, etc. Les hackers à l’autre bout du délit informatique jouissent cependant d’une certaine liberté pour opérer sans être vus. En fait, la seule chose que nous finissons par voir est leur travail, alors que des experts gouvernementaux très sérieux nous disent que l’attaque est venue d’Iran, de Chine, de Russie ou d’un autre État-nation lointain où les pirates informatiques prospèrent.

En ce qui concerne l’attaque du ransomware Colonial Pipeline de ce week-end, cependant, presque dès le départ, une série de détails fascinants a coulé sur le gang de ransomwares DarkSide de Russie sur lequel les experts américains ont pointé du doigt – et les pirates de DarkSide, eux-mêmes, ont même assumé la responsabilité de l’attaque. En fait, les cybercriminels ont en fait affiché une sorte de déclaration «oups» sur leur site Web, suggérant que ce qu’ils recherchaient surtout, c’était de l’argent ici, et non une attaque importante contre un élément majeur de l’infrastructure américaine.

Et ne vous y trompez pas, «majeur» est un assez bon descripteur des implications de cette attaque sur un réseau de pipelines qui transporte environ 45% du carburant consommé par la côte est des États-Unis. Comme nous l’avons noté précédemment, des installations majeures comme l’aéroport international Hartsfield-Jackson d’Atlanta, qui jusqu’à cette année était classé comme l’aéroport le plus achalandé du monde, reçoivent également du carburant de Colonial Pipeline, tout comme les bases militaires situées sur l’empreinte du pipeline. En fin de compte, le réseau de Colonial englobe quelque 5550 miles de pipeline et, en le fermant à cause des actions des pirates, il a initialement bloqué une quantité importante d’essence, de carburéacteur et de diesel le long de la côte du Golfe.

Colonial a déclaré qu’il avait décidé de supprimer son réseau opérationnel par prudence, même si c’était le réseau informatique de l’entreprise que les pirates russes ont touché – ils ont volé près de 100 Go avant de verrouiller le réseau et d’exiger le paiement de leur ransomware. L’ensemble du site Web de Colonial est en fait en panne au moment de la rédaction de cet article, bien que la société indique qu’elle vise à rétablir le service du pipeline d’ici la fin de la semaine. Entre-temps, comme indiqué ci-dessus, le gang DarkSide a pris la décision extraordinaire de se rapprocher raisonnablement des excuses pour l’attaque, soulignant dans la déclaration que vous pouvez lire ci-dessous: «Notre objectif est de gagner de l’argent et de ne pas créer de problèmes pour la société.»

Le gang de ransomwares DarkSide, qui a fermé le plus grand oléoduc des États-Unis, a publié un avis indiquant que leur seul objectif était l’argent. pic.twitter.com/uZUkWz6rpi – DarkTracer: DarkWeb Criminal Intelligence (@darktracer_int) 10 mai 2021

Et mon garçon, ce gang a-t-il une configuration assez sophistiquée qui, malgré cette dernière attaque, permet à l’argent de rouler bien avec un minimum d’examen de la presse grand public. C’est l’opinion d’experts comme Lesley Carhart, principale intervenante en cas d’incident industriel chez Dragos Inc., qui a tweeté: «Ils faisaient un très bon travail pour décimer les entreprises, y compris les infrastructures – et tout le monde a été très calme.»

Quelques faits clés sur DarkSide:

Le gang fonctionne comme une entreprise quasi-normale, croyez-le ou non. Danny Jenkins, PDG de ThreatLocker, a déclaré au site d’information sur la sécurité informatique et commerciale ThreatPost que DarkSide avait «des employés, des coûts, des bénéfices et un support client». DarkSide est en fait une plate-forme de rançongiciel en tant que service, selon le journaliste d’investigation axé sur la cybersécurité Brian Krebs. En tant que tels, les cybercriminels approuvés sont autorisés à utiliser la plate-forme pour infecter les entreprises avec des ransomwares et pour négocier le paiement avec les victimes. Mais ces criminels doivent suivre les règles de DarkSide – aucun piratage d’entreprises comme les salons funéraires, les organismes à but non lucratif et les hôpitaux. Cela semble revenir à la déclaration DarkSide ci-dessus. Ces gars-là veulent être payés, donc leur objectif est d’attaquer des cibles qui sont réellement capables de payer, ainsi que des cibles qui ne leur donneront pas l’air, vous savez, diaboliques. Mardi après-midi, il n’est pas encore apparu si Colonial Pipeline a encore payé une rançon ou combien d’argent le gang DarkSide a demandé, mais le groupe a tendance à exiger que les victimes paient entre 200000 et 2 millions de dollars.

Dans ce sens, il existe une sorte de FAQ sur le site Web de DarkSide qui explique: «Nous n’attaquons que les entreprises qui peuvent payer le montant demandé, nous ne voulons pas tuer votre entreprise.» En haut de cette page, en passant, se trouve un verbiage d’un type que vous trouverez sur la page À propos de quelque chose comme une startup technologique, où DarkSide explique un peu la plate-forme qu’ils ont construite pour suivre les attaquants de ransomware. «Nous avons créé DarkSide parce que nous n’avons pas trouvé le produit parfait pour nous. Maintenant, nous l’avons.

La journaliste de cybersécurité Kim Zetter, qui a couvert tout cela dans sa newsletter Substack Zero Day, note que les pratiques lucratives de DarkSide s’étendent également à la vente d’informations sur les prochaines victimes de ses attaques par ransomware afin que d’autres mauvais acteurs puissent court-circuiter le stock de la société victime. Krebs a également constaté qu’en mars, DarkSide avait introduit une sorte de service d’appel intégré au portail Web de gestion des pirates affiliés DarkSide, «qui permettait aux affiliés d’organiser des appels pour inciter les victimes à payer des rançons directement à partir du panneau de gestion.»

Le côté réel de tout cela, quant à lui, englobe les conséquences réelles et tangibles de l’attaque coloniale, qui vont au-delà des événements qui se sont déroulés sur des écrans d’ordinateur. La Maison Blanche, mardi, par exemple, a exhorté les Américains à ne pas se lancer dans une course aux stations-service, car la fermeture coloniale s’est prolongée d’un autre jour. Néanmoins, au moment d’écrire ces lignes, les stations-service d’au moins six États signalent des pannes de carburant, tandis que le suivi des prix et du carburant GasBuddy indique que la demande de carburant dans l’est des États-Unis a augmenté de plus de 30% cette semaine par rapport à la semaine dernière.

