Les États-Unis désarment les hackers de Colonial Pipeline
Un gouvernement vraiment pas content – L’attaque par ransomware contre le propriétaire du plus grand oléoduc américain, le 7 mai, a mis en évidence la vulnérabilité des infrastructures nationales aux cyberattaques. Cette attaque d’une ampleur inédite a entraîné une réponse rapide de la Maison-Blanche. Ce pipeline transportant 2,5 millions de barils de carburant par jour et fournissant 45 % du carburant consommé sur la côte est, le gouvernement US a décrété l’état d’urgence pour 18 États touchés par l’incident.
Des hackers qui se veulent responsables
Face à la pression des États-Unis, la réaction de DarkSide, les développeurs du ransomware, a été rapide. La publication explique que le gang est apolitique et qu’il n’est lié à aucun gouvernement. Enfin, les hackers affirment qu’ils seront plus prudents dans leur analyse des cibles de leurs partenaires afin d’éviter les « conséquences sociales » que peuvent avoir les attaques comme celle ciblant Colonial Pipeline.
Les Etats-Unis sortent l’artillerie lourde
Lors d’une conférence de presse du 13 mai, le président Joe Biden a affirmé que le FBI mobilisait toutes ses ressources et attribuait l’attaque à des ressortissants russes :
« Nous ne croyons pas que le gouvernement russe soit impliqué dans cette attaque. Mais nous avons de fortes raisons de croire que les criminels qui ont commis cette attaque vivent en Russie […] Nous avons été en contact direct avec Moscou concernant la nécessité, pour les pays responsables, de prendre des mesures fermes contre ces réseaux de ransomwares. Nous allons également poursuivre une mesure visant à perturber leur capacité à opérer. »
L’application de ces mesures a été rapide, puisque malgré le message d’apaisement des développeurs du ransomware, DarkSide aurait perdu l’accès à ses serveurs. Cette nouvelle a été partagée par un hacker du groupe concurrent REvil, avant que la publication originelle de DarkSide ne soit dénichée par le site Intel471. Le message affirme que DarkSide est privé d’accès à l’ensemble de son infrastructure publique, dont leur site DarkSite Leaks et leur serveur de paiement.
Des chercheurs en sécurité ont noté que le site de fuite de données DarkSide n’était plus accessible. On suppose que le FBI a saisi le serveur. Cependant, BleepingComputer a confirmé que le serveur de paiement Tor de DarkSide est toujours opérationnel. Si les forces de l’ordre ont saisi le serveur, il est possible qu’elles l’aient maintenu en ligne pour permettre aux victimes d’accéder aux logiciels de décryptage.
Enfin, le message mentionne que les affiliés recevront des décrypteurs pour leurs victimes. Ces décrypteurs permettront aux affiliés d’extorquer de l’argent à leurs cibles, sans que DarkSide ait besoin d’intervenir. Comme nous l’avons évoqué dans le précédent article, DarkSide commercialise son logiciel malveillant à des tiers qui doivent lui verser des fonds pour obtenir le logiciel de décryptage à envoyer à la victime.