Colonial Pipeline essuie une énorme attaque par ransomware – DarkSide n’y va pas de main morte
Colonial Pipeline passe du « côté obscur » – Colonial Pipeline a été victime d’une attaque par ransomware (ou rançongiciel) le 7 mai, qui a entraîné la fermeture volontaire du principal pipeline fournissant 45 % du carburant de la côte est des États-Unis. Cet assaut a été décrit comme la cyber-attaque la plus importante à ce jour contre des infrastructures critiques US.
Une victime délestée de 75 BTC
La société Colonial, basée en Géorgie, exploite un pipeline crucial pour la livraison d’essence et de kérosène aux États-Unis. Elle a été contrainte de le fermer après l’attaque par ransomware, ce qui a entraîné des pénuries de carburant dans tout le Sud-Est du pays. Entre-autres conséquences, la firme s’est acquittée de la rançon de 75 bitcoins – environ 5 millions de dollars -, dès les premières heures qui ont suivi le hack.
Une fois le paiement reçu, les pirates ont fourni à l’opérateur un outil de décryptage pour restaurer son réseau informatique désactivé. L’outil était si lent que la société a continué à utiliser ses propres sauvegardes pour le restaurer.
Le nouveau business modèle des pirates informatiques
Au total, un peu plus de 90 millions de dollars de rançon en bitcoins ont été versés à DarkSide, provenant de 47 portefeuilles distincts. Selon DarkTracer sur Twitter, 99 organisations ont été infectées par le malware DarkSide. Par déduction, il n’est pas interdit de supposer qu’environ la moitié des victimes ont accepté de verser une rançon et que le paiement moyen était de 1,9 million de dollars. Le graphique ci-dessous montre la valeur totale et le nombre de paiements de rançon effectués à DarkSide au cours des 9 derniers mois.
DarkSide est un parfait exemple de « Ransomware as a Service » (RaaS). Dans ce modèle, le logiciel malveillant est créé par un développeur, tandis que l’affilié du ransomware est chargé d’infecter le système informatique de la cible et de négocier le paiement de la rançon. Ce nouveau modèle commercial a révolutionné les rançongiciels, en les rendant accessible à ceux qui n’ont pas les compétences techniques pour concevoir des programmes malveillants, mais qui ont la volonté et la possibilité d’infiltrer une organisation.
Les paiements de rançon effectués par les victimes sont ensuite partagés entre l’affilié et le développeur. Dans le cas de DarkSide, le développeur prendrait 25 % pour les rançons inférieures à 500 000 dollars, mais ce pourcentage diminuerait à 10 % pour les rançons supérieures à 5 millions de dollars. Étant donné que la majorité des rançons est payée en bitcoins, il est assez simple de constater cette répartition entre le portefeuille des attaquants et celui du développeur à partir d’un explorateur de blockchains.