La tentative de cyberextorsion qui a forcé la fermeture d’un pipeline américain vital a été menée par un gang criminel connu sous le nom de DarkSide, qui cultive l’image de Robin Hood de voler des entreprises et de donner une coupe à des œuvres de bienfaisance, ont déclaré dimanche deux personnes proches de l’enquête.
L’arrêt, quant à lui, s’est prolongé, l’administration Biden assouplissant les réglementations pour le transport des produits pétroliers sur les autoroutes dans le cadre d’un effort «tout-terrain» pour éviter les perturbations dans l’approvisionnement en carburant.
Les experts ont déclaré que les prix de l’essence ne seront probablement pas affectés si le gazoduc est revenu à la normale dans les prochains jours, mais que l’incident – la pire cyberattaque à ce jour sur une infrastructure américaine critique – devrait servir de rappel aux entreprises. vulnérabilités auxquelles ils sont confrontés.
Le pipeline, exploité par Colonial Pipeline, basé en Géorgie, transporte de l’essence et d’autres carburants du Texas vers le nord-est. Son réseau de pipelines s’étend sur plus de 8 850 kilomètres et transporte plus de 380 millions de litres par jour.
Elle fournit environ 45% du carburant consommé sur la côte Est, selon l’entreprise.
Colonial a été frappé par ce qu’il a appelé une attaque de ransomware, dans laquelle les pirates informatiques bloquent généralement les systèmes informatiques en cryptant les données, en paralysant les réseaux, puis en exigeant une grosse rançon pour les déchiffrer.
Dimanche, Colonial a déclaré qu’il était en train de restaurer certains de ses systèmes informatiques. Il dit qu’il reste en contact avec les forces de l’ordre et d’autres agences fédérales, y compris le ministère de l’Énergie, qui dirige la réponse du gouvernement fédéral.
L’entreprise n’a pas dit ce qui était demandé ni qui en avait fait la demande.
Actif depuis août
Cependant, deux personnes proches de l’enquête, s’exprimant sous couvert d’anonymat, ont identifié le coupable comme étant DarkSide. Il fait partie des gangs de ransomwares qui ont «professionnalisé» une industrie criminelle qui a coûté aux pays occidentaux des dizaines de milliards de dollars de pertes au cours des trois dernières années.
DarkSide affirme qu’il n’attaque pas les hôpitaux et les maisons de retraite, les cibles éducatives ou gouvernementales et qu’il fait don d’une partie de sa prise à des œuvres caritatives. Il est actif depuis août et, typique des gangs de ransomwares les plus puissants, il est connu pour éviter de cibler les organisations des pays de l’ancien bloc soviétique.
Colonial n’a pas dit s’il avait payé ou négociait une rançon, et DarkSide n’a pas annoncé l’attaque sur son site Web sombre ni répondu aux questions d’un journaliste d’Associated Press. L’absence de reconnaissance indique généralement qu’une victime est en train de négocier ou a payé.
L’attaque contre Colonial Pipeline a contraint la société à fermer son réseau vendredi. Dimanche, Colonial a déclaré qu’il élaborait un plan de «redémarrage du système». Il a déclaré que son pipeline principal reste hors ligne mais que certaines lignes plus petites sont désormais opérationnelles.
“Nous sommes en train de rétablir le service sur d’autres latéraux et ne remettrons notre système complet en ligne que lorsque nous pensons qu’il est sûr de le faire, et en pleine conformité avec l’approbation de toutes les réglementations fédérales”, a déclaré la société dans un communiqué. .
La secrétaire au Commerce, Gina Raimondo, a déclaré dimanche que les attaques de ransomwares sont “ce dont les entreprises doivent maintenant s’inquiéter” et qu’elle travaillera “très vigoureusement” avec le Département de la sécurité intérieure pour résoudre le problème, le qualifiant de priorité absolue pour l’administration.
“Malheureusement, ces types d’attaques sont de plus en plus fréquents”, a-t-elle déclaré sur CBS. Affrontez la nation. “Nous devons travailler en partenariat avec les entreprises pour sécuriser les réseaux afin de nous défendre contre ces attaques.”
Elle a déclaré que le président Joe Biden avait été informé de l’attaque.
Le ministère des Transports a publié dimanche une déclaration d’urgence régionale, assouplissant les règlements sur les heures de service pour les conducteurs transportant de l’essence, du diesel, du carburéacteur et d’autres produits pétroliers raffinés dans 17 États et le district de Columbia. Cela leur permet de travailler des heures supplémentaires ou plus flexibles pour compenser toute pénurie de carburant liée à la panne du pipeline.
L’une des personnes proches de l’enquête coloniale a déclaré que les assaillants avaient également volé des données à l’entreprise, vraisemblablement à des fins d’extorsion. Parfois, les données volées sont plus précieuses pour les criminels de ransomware que l’effet de levier qu’ils gagnent en paralysant un réseau, car certaines victimes détestent voir leurs informations sensibles jetées en ligne.
Avertissement aux opérateurs d’infrastructure
Les experts en sécurité ont déclaré que l’attaque devrait être un avertissement pour les opérateurs d’infrastructures critiques – y compris les services publics d’électricité et d’eau et les sociétés d’énergie et de transport – que ne pas investir dans la mise à jour de leur sécurité les expose à un risque de catastrophe.
Ed Amoroso, PDG de TAG Cyber, a déclaré que Colonial avait de la chance que son attaquant soit apparemment motivé uniquement par le profit, pas par la géopolitique. Les hackers soutenus par l’État et déterminés à une destruction plus sérieuse utilisent les mêmes méthodes d’intrusion que les gangs de ransomwares.
«Pour les entreprises vulnérables aux ransomwares, c’est un mauvais signe car elles sont probablement plus vulnérables à des attaques plus graves», a-t-il déclaré. Les cyber-guerriers russes, par exemple, ont paralysé le réseau électrique en Ukraine pendant les hivers 2015 et 2016.
Les tentatives de cyberextorsion aux États-Unis au cours de l’année écoulée ont entraîné des retards dans le traitement du cancer dans les hôpitaux, interrompu la scolarité et paralysé la police et les administrations municipales.
David Kennedy, fondateur et principal consultant principal en sécurité chez TrustedSec, a déclaré qu’une fois qu’une attaque de ransomware est découverte, les entreprises n’ont guère d’autre recours que de reconstruire complètement leur infrastructure ou de payer la rançon.
“Les ransomwares sont absolument incontrôlables et constituent l’une des plus grandes menaces auxquelles nous sommes confrontés en tant que nation”, a déclaré Kennedy. “Le problème auquel nous sommes confrontés est que la plupart des entreprises ne sont pas préparées à faire face à ces menaces.”
