IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'attaque de DarkSide sur l'un des plus gros oléoducs de la Colonial Pipeline
Vue par Vladimir Kuskov, Head of threat exploration au sein de Kaspersky

Le , par Sandra Coret

20PARTAGES

6  0 
Récemment, l’un des plus gros oléoducs des États-Unis, géré par la société Colonial Pipeline s’est retrouvé paralysé, suite à une cyberattaque attribuée au groupe d’attaquants Darkside.


Vladimir Kuskov, Head of threat exploration, Kaspersky

Vladimir Kuskov commente :

DarkSide est un exemple typique de gang cybercriminel à la recherche de « gros gibier » avec pour objectif de gagner beaucoup d’argent. Le groupe travaille par le biais de programmes d'affiliation – ils proposent leur "produit" ransomware à des "partenaires" qui peuvent, à leur tour, acheter l'accès à des organisations à d'autres cybercriminels et l'utiliser pour déployer le ransomware.

Contrairement à d’autres groupes, DarkSide prétend avoir un code de conduite : ne pas s’attaquer aux hôpitaux, aux écoles, aux institutions gouvernementales et aux ONG. Fait intéressant, DarkSide a publié un commentaire sur leur site lundi. À en juger par la déclaration, ils ne s'attendaient apparemment pas à des conséquences de cette ampleur après la dernière attaque contre Colonial Pipeline et ils prévoient dorénavant d'introduire une sorte de "modération" afin d’éviter que ce genre de situation ne se reproduise.

Il existe deux versions du ransomware développé par DarkSide, un pour Windows et un pour Linux. Toutes deux sont dotées d’un schéma cryptographique sécurisé, de sorte que le décryptage ne peut se faire sans la clé du criminel. Par le passé, ils avaient commis une erreur en utilisant les mêmes clés pour plusieurs victimes ce qui avait permis aux sociétés de sécurité de créer un outil de décryptage pouvant aider les victimes à récupérer leurs fichiers sans payer la rançon. DarkSide a rapidement réagi à cette situation sur le forum darknet et a corrigé ce problème de sorte que les nouvelles victimes n'ont malheureusement plus cette option.
Les produits Kaspersky permettent de se prémunir du ransomware proposé par DarkSide et ont notamment détecté Trojan-Ransom.Win32.Darkside et Trojan-Ransom.Linux.Darkside.

Les attaques ciblées de ransomware sont devenues plus fréquentes ces deux dernières années. Il est aujourd’hui essentiel pour les entreprises de renforcer leur protection et celle de leurs réseaux afin de limiter les risques.

Voici quelques conseils :

  • Ne pas exposer les services de bureau à distance aux réseaux publics, sauf en cas d'absolue nécessité, et de toujours utiliser des mots de passe forts pour ces services ;

  • Installer rapidement les correctifs disponibles pour les solutions VPN fournissant un accès aux salariés distants et faisant office de passerelles dans son réseau ;

  • Garder toujours les logiciels à jour sur tous les appareils utilisés pour empêcher les ransomwares d'exploiter les vulnérabilités.


En outre, il est capital de concentrer la stratégie de défense sur la détection des mouvements latéraux et sur l'exfiltration des données vers Internet, et d’accorder une attention particulière au trafic sortant pour détecter les potentielles connexions des cybercriminels. L’utilisation de solution EDR (Endpoint Detection Response) et/ou MDR (Managed Detection Response) telles que Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response) permettent d’identifier et de stopper l'attaque dès le début du processus, avant que les attaquants n'atteignent leurs objectifs finaux.

Source : Kaspersky

Et vous ?

Que pensez-vous de cette analyse ? Est-elle pertinente ?
Comment sont gérées les menaces et attaques de ransomware au sein de votre organisation ?

Voir aussi :

Ransomwares ciblés : les attaques contre les organisations ayant une forte notoriété ont quasiment été multipliées par huit, soit 767 %, entre 2019 et 2020, selon le dernier rapport de Kaspersky

Kaspersky dévoile 5 nouvelles méthodes utilisées par les gangs de ransomware aujourd'hui, qui ont désormais recours à des attaques plus ciblées

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 20/05/2021 à 10:39
Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques,
« C'était la bonne chose à faire pour le pays »
Non! La bonne chose à faire est de ne pas connecter à internet des infrastructures vitales pour le pays.

Je viens d'avoir entre les mains le cahier des charges pour la réalisation de l'automation complète d'une station d'épuration. "Une station d'épuration", c'est à dire une "usine à merde" dont la fonction est de traiter les eaux usés de vos WC.

Et devinez quoi? Il est expressément précisé qu'aucune liaison externe n'est permise!

Pourquoi est-ce que certains prennent des mesures de sécurité pour les "usines à merde" alors que d'autres ne les prennent pas pour une centrale nucléaire???

Est-ce que, avant l'an 2000 et la généralisation d'internet, les pipelines fonctionnaient avec des gentils ouvriers qui livraient le pétrole en se promenant avec un sceau dans chaque main?
4  0 
Avatar de AoCannaille
Membre expert https://www.developpez.com
Le 08/06/2021 à 13:39
Citation Envoyé par Stan Adkens Voir le message
Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Je dirais juste qu'ils n'ont pas fait ça quand ces ransomware touchaient les SI des hopitaux...
2  0 
Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 19/05/2021 à 15:46
Business particulièrement lucratif et on s'étonne de voir autant d'attaques chaque jour.
0  0 
Avatar de Jeff_67
Membre éclairé https://www.developpez.com
Le 19/05/2021 à 16:52
Je pensais naïvement que les pirates qui trempent dans ce genre de business étaient suffisamment malins pour ne pas s'en prendre à des entités ayant leurs entrées dans les agences de renseignement US. Ça n'est visiblement pas le cas.
0  0 
Avatar de smarties
Membre éprouvé https://www.developpez.com
Le 20/05/2021 à 10:10
Déjà, pour augmenter la sécurité au niveau des utilisateurs des bureaux, je mettrais une politique stricte et restreindrais les accès Windows car l'utilisateur lambda fait moyennement attention.
Je trouve aussi les partages réseaux dangereux car le poste client peut modifier directement les fichiers depuis sont poste.

L'idéal serait même d'avoir le majorité des postes utilisateurs Linux.
Peut être une suite type OnlyOffice pour restreindre les moyens d'accès/modification du document (donc via navigateur).
0  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 08/06/2021 à 12:41
Citation Envoyé par Stan Adkens Voir le message
« Les extorqueurs ne verront jamais cet argent », a déclaré Stephanie Hinds, procureur américain par intérim pour le District Nord de la Californie, lors de la conférence de presse au ministère de la Justice lundi. « Les nouvelles
technologies financières qui tentent d'anonymiser les paiements
ne fourniront pas un rideau derrière lequel les criminels seront autorisés à faire les poches des Américains qui travaillent dur ».
Il faut arrêter de propager ce genre d'idées. On n'est pas anonyme en utilisant une blockchain.

Citation Envoyé par Stan Adkens Voir le message
Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Ah ça quand on s'en prend au pétrole, les états sortent les moyens.

Citation Envoyé par Stan Adkens Voir le message
Le FBI dit avoir été aidé par la "clé privée" d’une adresse spécifique où les bitcoins avaient été transférés. Qu’en pensez-vous ?
Soit ils l'ont récupérée physiquement (backdoor ou attaque physique), soit ils ont les moyens de casser le chiffrement actuel au niveau militaire - ce qui ne serait pas forcément étonnant. La conséquence si la dernière option était avérée par contre ce serait que le chiffrement actuel (HTTPS, VPN, etc) ne vaudrait plus tripette...

Une dernière possibilité (mais là ce serait gros) ce serait qu'ils aient organisé l'attaque ou infiltré le groupe qui l'a perpétrée, pour blâmer d'autres pays, ce qui expliquerait qu'ils aient des clés privées.

Citation Envoyé par Stan Adkens Voir le message
Le FBI possède-t-il un moyen secret d'infiltrer les portefeuilles bitcoin et de récupérer leur contenu, selon vous ?
0  0