dans

Cyberattaque Colonial Pipeline : les États-Unis saisissent la majeure partie de la rançon du groupe de hackers DarkSide

Pendant des années, les victimes ont choisi de payer discrètement les cybercriminels, calculant que le paiement serait moins cher que de reconstruire les données et les services

Washington: Le ministère de la Justice a déclaré lundi qu’il avait saisi une grande partie de la rançon qu’un grand opérateur de pipeline américain avait payé le mois dernier à un collectif de piratage informatique russe, renversant la situation sur les pirates informatiques en saisissant un portefeuille numérique pour récupérer des millions de dollars en crypto-monnaie.

Ces dernières semaines, les enquêteurs ont retracé 75 bitcoins d’une valeur de plus de 4 millions de dollars que Colonial Pipeline avait payés aux pirates alors que l’attaque fermait ses systèmes informatiques, provoquant des pénuries de carburant, une flambée des prix de l’essence et le chaos dans les compagnies aériennes.

Les enquêteurs fédéraux ont suivi la rançon alors qu’elle se déplaçait dans un labyrinthe d’au moins 23 comptes électroniques différents appartenant à DarkSide, le groupe de piratage, avant d’atterrir dans un compte dans lequel un juge fédéral leur a permis de pénétrer, selon des responsables de l’application des lois et des documents judiciaires.

Le ministère de la Justice a déclaré avoir saisi 63,7 bitcoins, d’une valeur d’environ 2,3 millions de dollars. (La valeur du Bitcoin a chuté au cours du mois dernier.)

« L’utilisation sophistiquée de la technologie pour prendre en otage des entreprises et même des villes entières à des fins lucratives est décidément un défi du 21e siècle, mais le vieil adage » suivez l’argent  » s’applique toujours », a déclaré Lisa Monaco, la procureure générale adjointe, lors de la conférence de presse. au ministère de la justice.

Les responsables de l’application des lois ont souligné la saisie dans le but d’avertir les cybercriminels que les États-Unis prévoyaient de viser leurs profits, qui sont souvent obtenus grâce à des crypto-monnaies comme Bitcoin. Il visait également à encourager les victimes d’attaques de rançongiciels – qui se produisent toutes les huit minutes en moyenne – à informer les autorités pour les aider à récupérer les rançons.

Pendant des années, les victimes ont choisi de payer discrètement les cybercriminels, calculant que le paiement serait moins cher que de reconstruire les données et les services. Bien que le FBI décourage les paiements de rançon, ils sont légaux et même déductibles des impôts. Mais les paiements – qui totalisent collectivement des milliards de dollars – ont financé et enhardi des groupes de ransomware.

Les responsables du ministère de la Justice ont déclaré que la volonté de Colonial de boucler rapidement le FBI a aidé à récupérer la partie de la rançon, et ils ont crédité la société pour son rôle dans un effort unique en son genre par un nouveau groupe de travail sur les ransomwares du département pour détourner un cybercrime. bénéfices du groupe.

« Nous devons continuer à prendre les cybermenaces au sérieux et investir en conséquence pour renforcer nos défenses », a déclaré Joseph Blount, PDG de Colonial, dans un communiqué. Blount a déclaré qu’après que son entreprise a contacté le FBI et le ministère de la Justice pour les informer de l’attaque, les enquêteurs ont aidé Colonial à comprendre les pirates et leurs tactiques.

L’annonce du ministère de la Justice est également intervenue avant la réunion prévue du président Joe Biden avec le président russe Vladimir Poutine la semaine prochaine à Genève, où Biden devrait aborder ce que les responsables américains considèrent comme la volonté du Kremlin de protéger les pirates informatiques. En règle générale, la Russie n’arrête ni n’extrade les suspects dans le cadre d’attaques de ransomware.

Le New York Times a rapporté le mois dernier que le paiement de la rançon de Colonial Pipeline avait été retiré du portefeuille Bitcoin de DarkSide, bien qu’il ne soit pas clair qui avait orchestré le mouvement.

Lundi, le gouvernement a comblé certains des blancs. DarkSide fonctionne en fournissant des ransomwares aux affiliés. En échange, DarkSide récolte une partie de ses bénéfices.

Les responsables ont déclaré avoir identifié un compte en monnaie virtuelle, souvent appelé portefeuille, que DarkSide utilisait pour percevoir le paiement d’une victime de ransomware – identifié dans les documents judiciaires uniquement comme Victim X, mais dont les détails de piratage correspondent à ceux de Colonial. Les responsables ont déclaré qu’un juge d’instance du district nord de Californie avait approuvé lundi un mandat pour saisir les fonds du portefeuille.

Le FBI a commencé à enquêter sur DarkSide l’année dernière et a identifié plus de 90 victimes dans plusieurs secteurs de l’économie, notamment la fabrication, le droit, les assurances, les soins de santé et l’énergie, a déclaré Paul Abbate, directeur adjoint du FBI, lors de la conférence de presse.

DarkSide est apparu pour la première fois en août et aurait commencé en tant que filiale d’un autre groupe de piratage informatique russe, appelé REvil, avant d’ouvrir sa propre opération l’année dernière.

Quelques semaines après l’attaque de Colonial par DarkSide, REvil a utilisé un logiciel de rançon pour tenter d’extorquer de l’argent à JBS, l’un des plus grands transformateurs de viande au monde. L’attaque a forcé l’entreprise à fermer neuf usines de viande bovine aux États-Unis, a perturbé des usines de volaille et de porc et a eu des effets importants sur les épiceries et les restaurants, qui ont dû facturer plus ou supprimer les produits carnés de leurs menus.

Ces dernières semaines, un ransomware a également paralysé l’hôpital qui dessert The Villages en Floride, la plus grande communauté de retraités des États-Unis ; réseaux de télévision; équipes de baseball de la NBA et des ligues mineures ; et même des ferries pour Nantucket et Martha’s Vineyard dans le Massachusetts.

Les épisodes ont élevé les vulnérabilités numériques dans la conscience nationale. Des responsables de la Maison Blanche ont déclaré la semaine dernière qu’ils s’efforçaient de résoudre les problèmes liés à la crypto-monnaie, qui a permis des attaques de ransomware pendant des années.

La semaine dernière, Christopher Wray, le directeur du FBI, a comparé la menace d’attaques de ransomware au défi du terrorisme mondial dans les jours qui ont suivi les attentats du 11 septembre 2001.

« Il y a beaucoup de parallèles, il y a beaucoup d’importance et nous nous concentrons beaucoup sur les perturbations et la prévention », a-t-il déclaré. « Il y a une responsabilité partagée, non seulement entre les agences gouvernementales, mais à travers le secteur privé et même l’Américain moyen. »

Wray a ajouté que le FBI enquêtait sur 100 variantes logicielles utilisées dans les attaques de ransomware, démontrant l’ampleur du problème.

Bien que les responsables américains aient pris soin de ne pas lier directement les attaques de ransomware à la Russie, Biden, Wray et d’autres ont déclaré que le pays protégeait les cybercriminels.

Dans de nombreux cas, la Russie les traite comme des biens nationaux. Lors d’une violation de Yahoo en 2014, par exemple, des agents de renseignement russes ont travaillé aux côtés de cybercriminels, leur permettant de tirer profit des données volées, tout en leur demandant de transmettre des comptes de messagerie au FSB, l’agence qui a succédé au KGB de l’ère soviétique.

Poutine a comparé les hackers à « des artistes qui se réveillent le matin de bonne humeur et commencent à peindre ». La réalité, disent les responsables américains, est qu’ils donnent à Poutine et aux services de renseignement russes une couche de déni plausible.

Non seulement Biden devrait régler le problème avec Poutine, mais le département d’État est également en pourparlers avec une vingtaine d’autres pays sur les moyens de faire pression mutuellement sur la Russie pour lutter contre la cybercriminalité.

« Si le gouvernement russe veut montrer qu’il est sérieux à propos de cette question, il y a beaucoup de place pour qu’il démontre de réels progrès que nous ne voyons pas », a déclaré Wray la semaine dernière.

Anne Neuberger, conseillère adjointe à la sécurité nationale pour les technologies cyber et émergentes, a averti la semaine dernière les entreprises américaines que les ransomwares avaient pris une tournure sombre, notant un récent passage «du vol de données à la perturbation des opérations».

Les pirates ont visé directement les systèmes de facturation de Colonial. Avec ceux-ci gelés, les dirigeants ont découvert qu’ils n’avaient aucun moyen de facturer les clients et ont fermé leurs opérations de manière préventive. Une évaluation confidentielle du gouvernement a déterminé que si le pipeline avait été fermé pendant encore deux jours, l’attaque aurait pu mettre à genoux les transports en commun et les raffineries chimiques, qui dépendent de Colonial pour transporter le diesel.

La Maison Blanche a tenu des réunions d’urgence pour faire face à l’attaque. L’administration Biden a annoncé qu’elle exigerait des sociétés pipelinières qu’elles signalent les cyberattaques importantes et que le gouvernement créerait des centres d’urgence 24 heures sur 24 pour gérer les piratages graves.

Les experts en cybersécurité ont salué la décision du ministère de la Justice.

« Il est devenu clair que nous devons utiliser plusieurs outils pour endiguer la marée » de ransomware, a déclaré John Hultquist, vice-président de la société de cybersécurité FireEye. « Une concentration plus forte sur les perturbations peut décourager ce comportement, qui se développe dans un cercle vicieux. »

Cet article a été initialement publié dans Le New York Times.

Katie Benner et Nicole Perlroth vers 2021 The New York Times Company

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🙂