Le cartel de ransomware qui a orchestré l’attaque du pipeline colonial au début du mois dernier a paralysé le réseau de l’opérateur du pipeline en utilisant un mot de passe de compte de réseau privé virtuel (VPN) compromis, a révélé la dernière enquête sur l’incident.
Le développement, qui a été signalé par Bloomberg vendredi, consistait à s’implanter dans les réseaux dès le 29 avril via le compte VPN, qui permettait aux employés d’accéder à distance aux réseaux de l’entreprise.
La connexion VPN était inutilisée mais active au moment de l’attaque, selon le rapport, ajoutant que le mot de passe a depuis été découvert dans un lot de mots de passe divulgués sur le dark web, suggérant qu’un employé de l’entreprise pourrait avoir réutilisé le même mot de passe sur un autre compte qui a déjà été violé.
On ne sait cependant pas comment le mot de passe a été obtenu, a déclaré à la publication Charles Carmakal, vice-président senior de la société de cybersécurité Mandiant. La filiale appartenant à FireEye assiste actuellement Colonial Pipeline dans les efforts de réponse aux incidents suite à une attaque de ransomware le 7 mai qui a conduit l’entreprise à suspendre ses opérations pendant près d’une semaine.
DarkSide, le syndicat de la cybercriminalité à l’origine de l’attaque, s’est depuis dissous, mais pas avant d’avoir volé près de 100 gigaoctets de données de Colonial Pipeline dans le cadre d’une double extorsion, forçant l’entreprise à payer une rançon de 4,4 millions de dollars peu de temps après le piratage et à éviter la divulgation d’informations sensibles. informations. On estime que le gang a gagné près de 90 millions de dollars au cours des neuf mois de ses opérations.
L’incident du Colonial Pipeline a également incité la US Transportation Security Administration à publier un consigne de sécurité le 28 mai, obligeant les exploitants de pipelines à signaler les cyberattaques à la Cybersecurity and Infrastructure Security Agency (CISA) dans les 12 heures, en plus d’obliger les installations à soumettre une évaluation de la vulnérabilité identifiant toute lacune dans leurs pratiques existantes dans les 30 jours.
Le développement intervient au milieu d’une explosion d’attaques de ransomware ces derniers mois, y compris celle du Brésilien entreprise de transformation de viande JBS la semaine dernière par le groupe REvil lié à la Russie, soulignant une menace pour les infrastructures critiques et introduisant un nouveau point de défaillance qui a eu un impact sévère sur les chaînes d’approvisionnement des consommateurs et les opérations quotidiennes, entraînant des pénuries de carburant et des retards dans les procédures de santé d’urgence .
Alors que les demandes de rançon ont considérablement augmenté, passant de milliers à des millions de dollars, les attaques contre des victimes de premier plan ont également augmenté, les entreprises des secteurs de l’énergie, de l’éducation, de la santé et de l’alimentation devenant de plus en plus des cibles de choix, alimentant à leur tour un cercle vicieux qui permet aux cybercriminels de rechercher les plus gros gains possibles.
Le modèle commercial rentable de la double extorsion, c’est-à-dire la combinaison de l’exfiltration de données et des menaces de ransomware, a également conduit les attaquants à étendre la technique à ce qu’on appelle triple extorsion, dans lequel des paiements sont exigés des clients, partenaires et autres tiers liés à la violation initiale pour exiger encore plus d’argent pour leurs crimes.
De manière inquiétante, cette tendance à payer les acteurs criminels a également suscité des inquiétudes croissantes quant à la possibilité d’établir un précédent dangereux, encourageant davantage les attaquants à distinguer les infrastructures critiques et à les mettre en danger.
REvil (alias Sodinokibi), pour sa part, a commencé à incorporer une nouvelle tactique dans son livre de jeu de ransomware-as-a-service (RaaS) qui comprend la mise en place d’attaques par déni de service distribué (DDoS) et l’envoi d’appels vocaux à l’entreprise de la victime. partenaires et les médias, « visant à exercer une pression supplémentaire sur l’entreprise de la victime pour qu’elle réponde aux demandes de rançon dans le délai imparti », ont révélé des chercheurs de Check Point le mois dernier.
« En combinant le cryptage de fichiers, le vol de données et les attaques DDoS, les cybercriminels ont essentiellement atteint un trio de ransomware conçu pour augmenter les possibilités de paiement », a déclaré la société de sécurité réseau NetScout. mentionné.
Le pouvoir perturbateur de la pandémie de ransomware a également déclenché une série d’actions, le Federal Bureau of Investigation (FBI) des États-Unis faisant du problème de longue date un « priorité. » Le ministère de la Justice a déclaré qu’il élevait les enquêtes sur les attaques de ransomware à une priorité similaire à celle du terrorisme, selon un rapport de Reuters la semaine dernière.
Déclarant que le FBI cherche des moyens de perturber l’écosystème criminel qui soutient l’industrie des ransomwares, le directeur Christopher Wray Raconté le Wall Street Journal que l’agence enquête sur près de 100 types de ransomwares différents, dont la plupart remontent à la Russie, tout en comparant la menace pour la sécurité nationale au défi posé par les attentats terroristes du 11 septembre 2001.