IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les pirates derrière la récente attaque de ransomware Colonial Pipeline ont reçu un total de 90 millions de dollars
En paiements de rançons Bitcoin avant d'arrêter leurs activités

Le , par Stéphane le calme
19 commentaires

24PARTAGES

15  0 
DarkSide, le groupe de hackers à l'origine de la récente attaque de ransomware Colonial Pipeline, a reçu un total de 90 millions de dollars en paiements de rançon Bitcoin avant de fermer la semaine dernière, selon une nouvelle étude.

Colonial Pipeline a été victime de l'une des attaques de ransomware les plus médiatisées de son histoire, qui a entraîné la fermeture d'une artère vitale utilisée pour acheminer l'essence, le diesel et le kérosène des raffineries de la côte du Golfe du Mexique vers les points de distribution de la côte Est. Les opérateurs du ransomware Darkside seraient responsables de l'attaque. La société d'informatique Secureworks estime que les criminels basés en Russie (qu'elle a baptisé Gold Waterfall) opèrent depuis le mois d'août de l'année dernière sous la forme d'une opération d'affiliation basée sur des commissions, et qu'ils sont une émanation de la célèbre équipe de ransomware Revil. « Darkside ransomware semble avoir été créé indépendamment de REvil ou GandCrab, mais présente plusieurs similitudes architecturales qui suggèrent que l'auteur de Darkside est familier à ces familles », indique Secureworks dans un compte rendu de recherche.

Colonial Pipeline aurait versé près de 5 millions de dollars en bitcoins au groupe de pirates qui l'a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service.

Une fois qu'ils ont reçu le paiement, les pirates ont fourni à l'opérateur un outil de déchiffrement pour restaurer son réseau informatique désactivé. L'outil était si lent que la société a continué à utiliser ses propres sauvegardes pour aider à restaurer le système, a déclaré l'une des personnes au courant des efforts de la société.

DarkSide exploite ce que l'on appelle un modèle commercial de « ransomware en tant que service », ce qui signifie que les pirates développent et commercialisent des outils de ransomware et les vendent à d'autres criminels qui effectuent ensuite des attaques. Le ransomware est un type de logiciel malveillant conçu pour bloquer l'accès à un système informatique. Les pirates exigent un paiement de rançon – généralement une cryptomonnaie – en échange de la restauration de l'accès.

Selon une annonce, qui a été examinée par les sociétés de cybersécurité Intel 471 et Recorded Future, le groupe a écrit : « Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure ». Les actifs perdus comprennent le blog du groupe, qui est hors service depuis jeudi, son serveur de paiement, qui recevait des fonds en cryptomonnaies de la part des victimes, et le réseau de diffusion de contenu (CDN) des données volées.

Le communiqué de DarkSide précise également que « le service d'assistance à l'hébergement ne fournit aucune information, sauf à la demande des autorités chargées de l'application de la loi ». « Quelques heures après le retrait, les fonds du serveur de paiement (les nôtres et ceux des clients) ont été envoyés à une adresse inconnue », a écrit "Darksupp", l'opérateur de DarkSide, dans le message en langue russe. L’opérateur a déclaré qu'ils allaient délivrer des outils de déchiffrement à tous leurs affiliés pour les cibles qu'ils ont attaquées, et a promis de compenser toutes les obligations financières en suspens d'ici le 23 mai 2021.

Dans la même publication, Darksupp indique que le groupe cesse toutes les opérations de son programme de ransomware, qui était loué à d'autres cybercriminels pour être utilisé. « Au vu de ce qui précède et en raison de la pression exercée par les États-Unis, le programme d'affiliation est fermé. Restez en sécurité et bonne chance », ajoute la publication, selon la traduction en anglais de la société de sécurité Intel471.

Ces déclarations suggèrent que les forces de l'ordre ont saisi l'infrastructure informatique du groupe et ses revenus en cryptomonnaies. Le jour même où Darksupp a déclaré avoir perdu l'accès, le président Biden a déclaré que les États-Unis « prendraient des mesures pour perturber » la capacité du groupe de ransomware à opérer. Biden a également appelé la Russie – où les services de renseignement américains pensent que le groupe DarkSide est basé – à traquer les attaquants. « Nous avons été en communication directe avec Moscou au sujet de l'impératif pour les pays responsables de prendre des mesures décisives contre ces réseaux de ransomware », a déclaré le président américain.


Dans un billet de blog publié mardi, Elliptic a déclaré que DarkSide et ses affiliés avaient empoché au moins 90 millions de dollars en paiements de rançon bitcoin au cours des neuf derniers mois de 47 victimes. Le paiement moyen des organisations était probablement de 1,9 million de dollars, a déclaré Elliptic.

« Au total, un peu plus de 90 millions de dollars en paiements de rançon Bitcoin ont été effectués à DarkSide, provenant de 47 portefeuilles distincts. Selon DarkTracer, 99 organisations ont été infectées par le malware DarkSide – ce qui suggère qu'environ 47 % des victimes ont payé une rançon et que le paiement moyen était de 1,9 million de dollars.

« Le graphique ci-dessous montre la valeur totale et le nombre de paiements de rançon effectués à DarkSide au cours des neuf derniers mois. Le mois de mai devait être un mois record, jusqu'à ce que DarkSide cesse ses opérations le 13 mai et que son portefeuille Bitcoin soit vidé ».


« DarkSide est un exemple de "Ransomware as a Service" (RaaS). Dans ce modèle d'exploitation, le malware est créé par le développeur du ransomware, tandis que l'affilié du ransomware est responsable de l'infection du système informatique cible et de la négociation du paiement de la rançon avec l'organisation victime. Ce nouveau modèle commercial a révolutionné les ransomwares, les ouvrant à ceux qui n'ont pas la capacité technique de créer des logiciels malveillants, mais qui sont prêts et capables de s'infiltrer dans une organisation cible.

« Tout paiement de rançon effectué par une victime est ensuite partagé entre l'affilié et le développeur. Dans le cas de DarkSide, le développeur prendrait 25 % pour les rançons inférieures à 500 000 dollars, mais cela diminue à 10 % pour les rançons supérieures à 5 millions de dollars. Cette division du paiement de la rançon est très claire à voir sur la blockchain, les différentes actions étant destinées à séparer les portefeuilles Bitcoin contrôlés par l'affilié et le développeur. Au total, le développeur DarkSide a reçu des bitcoins d'une valeur de 15,5 millions de dollars (17 %), les 74,7 millions de dollars restants (83 %) allant aux différents affiliés ».


Bitcoin a acquis une réputation pour son utilisation dans des activités criminelles, car les personnes effectuant des transactions avec la cryptomonnaie n'ont pas à révéler leur identité. Cependant, le grand livre numérique qui sous-tend le bitcoin est public, ce qui signifie que les chercheurs peuvent retracer où les fonds sont envoyés.

Le piratage de Colonial Pipeline faisait partie d'une série d'attaques de ransomwares qui ont fait les gros titres la semaine dernière. Une division du conglomérat japonais Toshiba a déclaré que son unité européenne avait été piratée, attribuant l'attaque à DarkSide, tandis que le service de santé irlandais a également été touché par une attaque de ransomware. Mercredi, le président Joe Biden a signé un décret visant à renforcer les défenses américaines en matière de cybersécurité.

Le décret de 34 pages intitulé "Executive Order on Improving the Nation's Cybersecurity" (décret sur l'amélioration de la cybersécurité de la nation) vise à moderniser les défenses de cybersécurité de l'infrastructure du gouvernement fédéral, à créer un guide normalisé de réponse aux incidents et à améliorer la communication entre les fournisseurs de services et les forces de l'ordre.

En résumé, le décret ordonnera au gouvernement d'effectuer les actions suivantes :
  • exiger des fournisseurs de services IT (technologie de l'information) et OT (technologie opérationnelle), y compris les fournisseurs d'hébergement en cloud, qu'ils partagent les informations sur les menaces et les brèches de cybersécurité dont ils ont connaissance et qu'ils suppriment les problèmes contractuels qui empêchent le partage de ces informations ;
  • moderniser les services informatiques du gouvernement fédéral, notamment en passant à une architecture de confiance zéro, en exigeant une authentification multifactorielle, le chiffrement des données au repos et en transit, et en élaborant des directives de sécurité strictes sur l'utilisation des services en cloud ;
  • améliorer la sécurité de la chaîne d'approvisionnement en élaborant des lignes directrices, des outils et des meilleures pratiques pour vérifier et garantir que les logiciels essentiels ne sont pas altérés par des acteurs malveillants lors d'attaques de la chaîne d'approvisionnement. Dans le cadre de cette initiative, le gouvernement fédéral créera un programme de type "energy star" qui montrera que les logiciels ont été développés en toute sécurité ;
  • créer un « comité d'examen de la cybersécurité » composé de membres du gouvernement fédéral et du secteur privé qui se réunira après un cyberincident important pour évaluer l'attaque, formuler des recommandations et partager les informations confidentielles pertinentes avec les forces de l'ordre ;
  • créer un guide standardisé pour toutes les agences gouvernementales afin de répondre aux brèches et aux cyberattaques ;
  • améliorer la détection et la correction des vulnérabilités et des brèches de cybersécurité sur les réseaux gouvernementaux en déployant une solution centralisée de détection et de réponse aux points d'extrémité et en partageant les informations intergouvernementales.

Source : Elliptic

Voir aussi :

Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer", et appelle à l'action
Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

Une erreur dans cette actualité ? Signalez-nous-la !

19 commentaires
Commenter Signaler un problème
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 20/05/2021 à 10:39
Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques,
« C'était la bonne chose à faire pour le pays »
Non! La bonne chose à faire est de ne pas connecter à internet des infrastructures vitales pour le pays.

Je viens d'avoir entre les mains le cahier des charges pour la réalisation de l'automation complète d'une station d'épuration. "Une station d'épuration", c'est à dire une "usine à merde" dont la fonction est de traiter les eaux usés de vos WC.

Et devinez quoi? Il est expressément précisé qu'aucune liaison externe n'est permise!

Pourquoi est-ce que certains prennent des mesures de sécurité pour les "usines à merde" alors que d'autres ne les prennent pas pour une centrale nucléaire???

Est-ce que, avant l'an 2000 et la généralisation d'internet, les pipelines fonctionnaient avec des gentils ouvriers qui livraient le pétrole en se promenant avec un sceau dans chaque main?
4  0 
AoCannaille
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 08/06/2021 à 13:39
Citation Envoyé par Stan Adkens Voir le message
Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Je dirais juste qu'ils n'ont pas fait ça quand ces ransomware touchaient les SI des hopitaux...
2  0 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 19/05/2021 à 15:46
Business particulièrement lucratif et on s'étonne de voir autant d'attaques chaque jour.
0  0 
Avatar de
https://www.developpez.com
Le 19/05/2021 à 16:52
Je pensais naïvement que les pirates qui trempent dans ce genre de business étaient suffisamment malins pour ne pas s'en prendre à des entités ayant leurs entrées dans les agences de renseignement US. Ça n'est visiblement pas le cas.
0  0 
smarties
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 20/05/2021 à 10:10
Déjà, pour augmenter la sécurité au niveau des utilisateurs des bureaux, je mettrais une politique stricte et restreindrais les accès Windows car l'utilisateur lambda fait moyennement attention.
Je trouve aussi les partages réseaux dangereux car le poste client peut modifier directement les fichiers depuis sont poste.

L'idéal serait même d'avoir le majorité des postes utilisateurs Linux.
Peut être une suite type OnlyOffice pour restreindre les moyens d'accès/modification du document (donc via navigateur).
0  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 08/06/2021 à 12:41
Citation Envoyé par Stan Adkens Voir le message

« Les extorqueurs ne verront jamais cet argent », a déclaré Stephanie Hinds, procureur américain par intérim pour le District Nord de la Californie, lors de la conférence de presse au ministère de la Justice lundi. « Les nouvelles
technologies financières qui tentent d'anonymiser les paiements ne fourniront pas un rideau derrière lequel les criminels seront autorisés à faire les poches des Américains qui travaillent dur ».
Il faut arrêter de propager ce genre d'idées. On n'est pas anonyme en utilisant une blockchain.

Citation Envoyé par Stan Adkens Voir le message

Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Ah ça quand on s'en prend au pétrole, les états sortent les moyens.

Citation Envoyé par Stan Adkens Voir le message

Le FBI dit avoir été aidé par la "clé privée" d’une adresse spécifique où les bitcoins avaient été transférés. Qu’en pensez-vous ?
Soit ils l'ont récupérée physiquement (backdoor ou attaque physique), soit ils ont les moyens de casser le chiffrement actuel au niveau militaire - ce qui ne serait pas forcément étonnant. La conséquence si la dernière option était avérée par contre ce serait que le chiffrement actuel (HTTPS, VPN, etc) ne vaudrait plus tripette...

Une dernière possibilité (mais là ce serait gros) ce serait qu'ils aient organisé l'attaque ou infiltré le groupe qui l'a perpétrée, pour blâmer d'autres pays, ce qui expliquerait qu'ils aient des clés privées.

Citation Envoyé par Stan Adkens Voir le message

Le FBI possède-t-il un moyen secret d'infiltrer les portefeuilles bitcoin et de récupérer leur contenu, selon vous ?
0  0 
Commenter Signaler un problème