Ransomware

Colonial Pipeline a rétabli jeudi les opérations de l’ensemble de son système de pipelines près d’une semaine à la suite d’une infection par ransomware ciblant ses systèmes informatiques, le forçant à débourser près de 5 millions de dollars pour restaurer le contrôle de ses réseaux informatiques.

« Suite à ce redémarrage, il faudra plusieurs jours pour que la chaîne d’approvisionnement de livraison des produits revienne à la normale », a déclaré la société mentionné dans une déclaration jeudi soir. « Certains marchés desservis par Colonial Pipeline peuvent subir ou continuer de subir des interruptions de service intermittentes au cours de cette période de démarrage. Colonial transportera autant d’essence, de diesel et de carburéacteur que possible en toute sécurité et continuera de le faire jusqu’à ce que les marchés reviennent. À la normale. »

De la société site officiel, cependant, a été mis hors ligne au moment de l’écriture avec un message d’accès refusé « Cette demande a été bloquée par les règles de sécurité. »

Auditeur De Mot De Passe

Bloomberg, citant «deux personnes familières avec la transaction», mentionné la société a fait le profit quelques heures après l’attaque du ransomware DarkSide pour mettre la main sur un décrypteur, qui s’est avéré si lent que Colonial a plutôt utilisé ses propres sauvegardes pour récupérer les systèmes rendus inopérants par le ransomware. Insider en assurance signalé plus tôt cette semaine, l’exploitant du pipeline avait une couverture de cyber-assurance d’environ 15 millions de dollars.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis ne tolère pas le paiement d’une rançon aux acteurs criminels, car cela pourrait enhardir les adversaires à cibler davantage d’organisations et encourager d’autres cybercriminels à se lancer dans la distribution de ransomwares. Mais les entités concernées ont souvent choisi de répondre aux demandes des attaquants, car c’est le moyen le plus rapide de reprendre un fonctionnement normal et d’éviter le risque d’exposition des données.

Publicité

Un 2019 Enquête ProPublica a révélé comment les compagnies d’assurance alimentent la montée des menaces de ransomwares en couvrant le coût moins une franchise, qui est généralement bien inférieure à la rançon exigée par les attaquants.

« Les acteurs de la menace sont devenus plus compétents dans la conduite d’opérations d’extorsion multiformes et ce succès a directement contribué à l’augmentation rapide du nombre d’incidents de ransomwares à fort impact au cours des dernières années ». mentionné la société de cybersécurité FireEye, dont la filiale Mandiant dirige les efforts de réponse aux incidents. « Les opérateurs de ransomware ont incorporé des tactiques d’extorsion supplémentaires conçues pour augmenter la probabilité que les victimes acceptent de payer les prix de la rançon. »

L’équipe de renseignement sur les menaces de la société suit cinq groupes d’activités associés au déploiement de DarkSide – dont UNC2628, UNC2659 et UNC2465 – dont certains sont actifs au moins depuis avril 2019.

DarkSide, annoncé par un acteur russophone nommé «darksupp» sur les forums de langue russe exploit.in et xss.is, fonctionne comme un ransomware-as-a-service (RaaS), ses créateurs prenant une réduction de 25% pour les paiements de rançon inférieurs à 500 000 $, des frais qui diminuent à 10% pour les paiements supérieurs à 5 millions de dollars, par FireEye.

À la suite de l’attaque de Colonial Pipeline, les opérateurs du ransomware DarkSide ont publié une déclaration sur leur site d’extorsion sur le Web sombre, promettant qu’ils avaient l’intention de contrôler les entreprises que ses affiliés ciblent à l’avenir pour « éviter les conséquences sociales à l’avenir ». De plus, xss.is a annoncé aujourd’hui une interdiction unilatérale des promotions de ransomware sur le forum de cybercriminalité darknet, probablement dans le but d’éviter toute attention indésirable.

« Ransomware est devenu politique », l’administrateur de xss.is mentionné dans un article révélé par Yelisey Boguslavskiy d’Advanced Intel. « Peskov (l’attaché de presse de Poutine) est obligé de trouver des excuses à nos ‘amis’ d’outre-mer … C’est maintenant assimilé à des choses désagréables – géopolitique, extorsion, piratage gouvernemental. Ce mot est devenu dangereux et toxique. »

« Les partenariats RaaS ont conduit à la mise en place d’une économie organique massive centrée sur les principaux forums russes », a noté Boguslavskiy. « Maintenant, cette économie peut être entièrement perturbée. »

La récente vague de cyberattaques visant SolarWinds, Microsoft Exchange et Colonial Pipeline a également a incité le gouvernement américain à prendre des mesures pour renforcer les défenses en «protégeant les réseaux fédéraux, en améliorant le partage d’informations entre le gouvernement américain et le secteur privé sur les cyber-problèmes et en renforçant la capacité des États-Unis à réagir aux incidents lorsqu’ils surviennent».


Rate this post
Publicité
Article précédentDes images de Google Pixel 6 et Pixel 6 Pro divulguées en ligne révèlent une énorme bosse de caméra à l’arrière
Article suivantComment les smartphones sont le moteur d’un boom mondial de la FinTech
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici