Avis de l’éditeur: Les attaques de ransomwares au cours des dernières années ont prouvé qu’aucune entreprise n’était à l’abri d’eux, ce qui a encouragé des groupes de pirates comme DarkSide à développer leurs ambitions et à s’attaquer à des cibles plus importantes. Malheureusement pour eux, cela a également suscité une réaction féroce des agences gouvernementales – ce à quoi ils ne s’attendaient probablement pas ou n’avaient pas prévu. Pourtant, il y a des voix dans la communauté de la sécurité qui disent qu’il s’agit simplement d’une «arnaque à la sortie», où les opérateurs de ransomware se retirent pendant un certain temps pour planifier leurs futures attaques.

Plus tôt ce mois-ci, un groupe de hackers du nom de DarkSide a lancé une attaque de ransomware contre le réseau commercial de Colonial Pipeline, forçant la société à fermer le pipeline principal de 5500 miles et entraînant des pénuries de carburant dans 17 États et à Washington DC la semaine dernière.

Selon un Bloomberg rapport, Colonial a payé 75 Bitcoin (environ 5 millions de dollars le jour de la transaction) en rançon aux pirates d’Europe de l’Est, mais officiellement, la société a maintenu un récit différent de ne pas avoir l’intention de payer les frais d’extorsion en crypto-monnaie, comme le groupe DarkSide avait exigé. Cependant, la société basée en Géorgie aurait effectué le paiement dans les heures suivant l’attaque, peut-être en utilisant un police d’assurance cyber pour le couvrir.

Une fois le paiement reçu, les hackers ont fourni à Colonial un outil de décryptage pour la restauration de ses systèmes informatiques. Cependant, le processus était si lent que l’entreprise a simplement eu recours à ses propres sauvegardes pour accélérer la récupération. Les expéditions de carburant ont finalement repris mercredi soir, mais l’histoire a déclenché une réponse massive du gouvernement, y compris un ordre exécutif signé par le président Joe Biden pour le renforcement des défenses américaines en matière de cybersécurité.

Cabinet d’analyse de la blockchain Elliptic réclamations avoir retracé le portefeuille utilisé par DarkSide pour recevoir les paiements de rançon. La société a constaté que le portefeuille était actif depuis début mars et a reçu 57 paiements de 21 portefeuilles différents, ce qui semble correspondre aux rançons connues qui ont été payées au cours des deux derniers mois.

Le total des transactions est estimé à 17,5 millions de dollars, et Elliptic a également pu retracer où DarkSide envoie une partie de ses fonds. Ce qu’il a découvert, c’est que le groupe utilise plusieurs bourses, ainsi qu’un marché darknet appelé Hydra, populaire parmi les cybercriminels russes.

Plus tôt cette semaine, DarkSide a publié des excuses sur le dark web expliquant qu’il n’avait jamais eu l’intention de causer des «problèmes à la société». Désormais, le groupe affirme avoir perdu le contrôle de ses serveurs Web ainsi qu’une partie importante de ses fonds. Plus précisément, les serveurs ont été saisis par une entité inconnue et au moins un de ses comptes principaux, qui a servi à payer son groupe principal et ses affiliés qui ont porté les attaques, a été vidé.

Certains pensent que c’était le résultat d’une action rapide et coordonnée des autorités américaines avec l’aide du gouvernement russe, car il y a eu des soupçons que DarkSide opère en Russie. Cependant, des experts des sociétés de sécurité Emsisoft, FireEye et Intel 471 Explique il s’agit simplement d’une «arnaque à la sortie», un comportement par ailleurs typique utilisé par les opérateurs de ransomware pour cacher leurs traces et se retirer dans l’ombre où ils peuvent tracer leur prochain mouvement, parfois sous un nom différent.

La deuxième explication est la plus plausible, car d’autres ransomwares ont fait des annonces similaires à la suite de l’attention médiatique accrue accordée à leurs opérations récentes. Par exemple, REvil et Avaddon ont déclaré qu’ils arrêteraient de faire de la publicité pour leurs plates-formes Ransomware-as-a-Service et «deviendraient privés». En outre, ils prévoient de cesser d’attaquer les infrastructures essentielles telles que les établissements de santé et d’enseignement, les réseaux d’énergie, les pipelines de carburant et tout ce qui pourrait attirer le genre d’attention qui a résulté de la récente attaque DarkSide sur le pipeline Colonial.

Colonial n’était pas la seule entreprise ciblée par DarkSide – a déclaré Toshiba dans un déclaration vendredi, la partie européenne de son activité avait été touchée par une attaque de ransomware le 4 mai. Elle n’a pas payé de rançon, car les données volées ne contenaient pas d’informations sensibles grâce à une action rapide qui a empêché les attaquants de se déplacer horizontalement dans l’entreprise. systèmes de réseau.

Le service de santé irlandais était également victime à une attaque de ransomware «significative» et «sophistiquée» sur ses systèmes, incitant les responsables à arrêter les systèmes concernés par mesure de précaution. Heureusement, le programme de vaccination du pays contre Covid-19 n’a pas été directement affecté par l’attaque, mais il y a eu une perturbation importante dans tous les autres services de santé, les hôpitaux étant contraints de travailler hors ligne.

En Allemagne, la société de distribution de produits chimiques Brenntag payé 4,4 millions de dollars de Bitcoin en rançon à DarkSide pour protéger ses opérations sur plus de 670 sites et 150 gigaoctets d’informations sensibles. Le réseau de l’entreprise a été infiltré plus tôt ce mois-ci à l’aide d’informations d’identification volées et d’une sécurité de connexion laxiste qui manquait d’authentification multifactorielle.

Les ransomwares en tant que service semblent être une grande entreprise, du moins selon Les figures de Chainalysis, qui dit que les attaques de ransomware ont explosé l’année dernière et ne montrent aucun signe de ralentissement. Au cours des premiers mois de 2021, les victimes ont payé plus de 81 millions de dollars, dont une grande partie est allée à DarkSide.

Une autre observation intéressante est que depuis huit ans, les opérateurs de ransomwares transfèrent leurs fonds via les échanges traditionnels et les tumblers de crypto-monnaie, ces derniers étant essentiellement utilisés pour masquer l’adresse source des transactions. Cela le rend très attractif pour le blanchiment d’argent, les fraudes et autres activités criminelles.

Le mois dernier, les autorités américaines arrêté Roman Sterlingov, l’opérateur d’un gobelet de crypto-monnaie appelé Bitcoin Fog qui aurait blanchi 335 millions de dollars de Bitcoin depuis 2011. Cette semaine, le DOJ et l’IRS ont commencé à enquêter sur Binance, le plus grand échange de crypto-monnaie au monde en volume, mais ce dernier n’a pas encore été accusé de tout acte répréhensible.

Le principal problème des attaques de ransomwares est la difficulté à attraper les personnes qui en sont responsables, car certains d’entre eux résident dans des pays que l’on peut qualifier de refuges pour la cybercriminalité. Un exemple notable est la Corée du Nord, qui aurait utilisé des experts en crypto-monnaie et des pirates pour voler des milliards de dollars, aidant ses ambitions militaires et lui permettant d’échapper aux sanctions américaines.

Un autre problème est la grande mobilité de ces acteurs malveillants, ce qui nécessite un effort mondial et concerté si nous voulons qu’il y ait un changement significatif dans la prolifération des attaques de ransomwares. L’ONU a fait les premiers pas dans cette direction avec un proposition pour que les pays signent un ensemble de règles semblables à un « Convention de Genève numérique, « mais il y a eu peu de progrès sur ce front.