L’attaque par ransomware contre les réseaux de Colonial Pipeline a incité la Federal Motor Carrier Safety Administration (FMCSA) des États-Unis à émettre un déclaration d’urgence régionale dans 17 États et dans le district de Columbia (DC).
La déclaration prévoit une exemption temporaire pour les parties 390 à 399 du Règlement fédéral sur la sécurité des transporteurs routiers (FMCSR), permettant le transport alternatif de l’essence, du diesel et des produits pétroliers raffinés pour remédier aux pénuries d’approvisionnement résultant de l’attaque.
« Tel [an] L’urgence est en réponse à l’arrêt imprévu du système de pipeline colonial en raison de problèmes de réseau qui affectent l’approvisionnement en essence, diesel, carburéacteur et autres produits pétroliers raffinés dans les États touchés « , a déclaré la directive. » Cette déclaration répond à l’urgence. conditions créant un besoin de transport immédiat de l’essence, du diesel, du carburéacteur et d’autres produits pétroliers raffinés et fournit les secours nécessaires. «
Les États et juridictions concernés par l’arrêt du gazoduc et inclus dans la déclaration d’urgence sont l’Alabama, l’Arkansas, le district de Columbia, le Delaware, la Floride, la Géorgie, le Kentucky, la Louisiane, le Maryland, le Mississippi, le New Jersey, New York, la Caroline du Nord, la Pennsylvanie, Caroline du Sud, Tennessee, Texas et Virginie.
Les exemptions, qui visent à atténuer les pénuries ou les perturbations d’approvisionnement qui pourraient survenir en raison de l’arrêt, devraient être en vigueur jusqu’à la fin de l’urgence ou le 8 juin 2021, 23 h 59, selon la première éventualité.
Le FBI confirme le ransomware DarkSide
Le développement intervient alors que le Federal Bureau of Investigation (FBI) des États-Unis confirmé la perturbation de l’un des plus grands pipelines du pays au cours du week-end a été orchestrée par le ransomware Darkside. La cyberattaque a forcé la société à fermer 5500 miles de pipeline de carburant entre la ville de Houston au Texas et le port de New York, ce qui suscite des inquiétudes quant à la vulnérabilité de l’infrastructure énergétique américaine aux cyberattaques.
« Colonial Pipeline continue de travailler en partenariat avec des experts tiers en cybersécurité, des forces de l’ordre et d’autres agences fédérales pour rétablir rapidement et en toute sécurité les opérations du pipeline », a déclaré Colonial Pipeline mentionné dans un rapport. « Bien que cette situation reste fluide et continue d’évoluer, l’équipe des opérations coloniales exécute un plan qui implique un processus progressif qui facilitera un retour au service dans une approche par étapes. »
Alors que le gouvernement américain lundi mentionné rien n’indiquait que la Russie était impliquée dans l’attaque du ransomware Colonial Pipeline, les opérateurs du ransomware DarkSide ont publié une déclaration sur leur site d’extorsion sur le dark web, promettant qu’elle avait l’intention de contrôler les entreprises que ses affiliés ciblent à l’avenir pour « éviter les réseaux sociaux conséquences à l’avenir. »
« Nous sommes apolitiques, nous ne participons pas à la géopolitique, n’avons pas besoin de nous lier à un gouvernement défini et de chercher d’autres motivations », a déclaré le gang de cybercriminalité, ajoutant: « Notre objectif est de gagner de l’argent et de ne pas créer de problèmes pour société. »
DarkSide en tant que campagne Ransomware de Carbon Spider
L’adversaire, qui aurait divulgué des données concernant au moins 91 organisations depuis le début des opérations en août 2020, fonctionne comme un programme de ransomware-as-a-service (RaaS), dans lequel les partenaires sont liés pour étendre l’entreprise criminelle en violant les réseaux d’entreprise et en déployant le ransomware, tandis que les principaux développeurs prennent en charge la maintenance les logiciels malveillants et l’infrastructure de paiement. Les affiliés reçoivent généralement 60% à 70% des bénéfices, et les développeurs gagnent le reste.
Parmi les victimes dont les données internes ont été publiées sur le site de fuite de données de DarkSide se trouvent d’autres sociétés pétrolières et gazières telles que Forbes Energy Services et Gyrodata, toutes deux basées au Texas. Selon Crowdstrike, On pense que DarkSide est l’oeuvre de Araignée de carbone (alias Anunak, Carbanak ou FIN7), dont le responsable de haut niveau et l’administrateur système a récemment été condamné à 10 ans de prison aux États-Unis
« Le groupe DarkSide est un acteur relativement nouveau dans le jeu des ransomwares. Bien qu’il s’agisse d’un nouveau groupe, cependant, l’équipe DarkSide s’est déjà bâtie une réputation pour rendre ses opérations plus professionnelles et organisées », chercheurs de Cybereason mentionné le mois dernier. « Le groupe dispose d’un numéro de téléphone et même d’un service d’assistance pour faciliter les négociations avec les victimes, et ils font un grand effort pour collecter des informations sur leurs victimes – pas seulement des informations techniques sur leur environnement, mais des informations plus générales sur l’entreprise elle-même, comme la taille de l’organisation et les revenus estimés. «
Le modèle de DarkSide de publier des communiqués de presse de type entreprise sur leur domaine Tor pour injecter un vernis de professionnalisme dans ses activités criminelles a conduit la société de cybersécurité Digital Shadows à qualifier son modèle d’entreprise de « ransomware-as-a-corporation« (RaaC).
L’incident du Colonial Pipeline est la dernière cyberattaque à laquelle le gouvernement américain a été confronté ces derniers mois, à la suite des piratages de SolarWinds par des agents de renseignement russes et de l’exploitation des vulnérabilités de Microsoft Exchange Server par des acteurs chinois.
«Mettre fin à des opérations étendues comme le pipeline Colonial révèle une cyberattaque sophistiquée et bien conçue», a déclaré Lotem Finkelsteen, responsable du renseignement sur les menaces de Check Point. «Cette attaque nécessite également un délai approprié pour permettre les mouvements latéraux et l’exaltation des données. Le Darkside est connu pour faire partie d’une tendance d’attaques de ransomwares impliquant des systèmes que la communauté cybernétique voit rarement impliqués dans le réseau compromis, comme les serveurs ESXi. aux soupçons que le réseau ICS (systèmes d’infrastructure critique) était impliqué. «