Colonial Pipeline a payé une rançon de 5 millions de dollars, selon des rapports
3 min read
Colonial Pipeline, l’exploitant américain d’infrastructure de distribution de combustibles fossiles touché par une attaque de ransomware DarkSide La semaine dernière, pourrait avoir payé une rançon de 5 millions de dollars aux opérateurs de ransomware dans les heures qui ont suivi le verrouillage des systèmes critiques, selon des rapports.
Selon des sources anonymes proches de l’incident, Colonial Pipeline a payé la rançon dans une crypto-monnaie non identifiée et a reçu l’outil de décryptage. Cependant, cet outil aurait fonctionné si lentement que l’entreprise a restauré une bonne quantité de ses données à partir de sauvegardes, ce qui a quelque peu annulé le point de payer.
Bloomberg, qui a été le premier à signaler le paiement apparent, a également déclaré que le gouvernement américain savait qu’une rançon avait été payée.
Les livraisons de carburant à travers l’infrastructure du pipeline Colonial auraient repris le mercredi 12 mai, et selon CNN, la reprise des opérations a été retardée parce que l’attaque du ransomware a touché le système de facturation de l’entreprise – elle a donc été obligée de couper les approvisionnements parce qu’elle ne pouvait pas garantir qu’elle serait payée par ses clients.
Au moment de la rédaction de cet article, le partenaire de sécurité de Colonial Pipeline, Imperva, bloque l’accès légitime à son site Web depuis l’extérieur des États-Unis à l’aide de son service d’application cloud. Il n’a donc pas été possible au moment de la rédaction de ce rapport d’établir une réponse de la part de l’entreprise.
ArmisLe responsable européen des cyber-risques, Andy Norton, a déclaré: «Je ne pense pas que nous soyons au bout de cette histoire, il n’y a pas de gagnant clair ici. DarkSide a peut-être reçu 5 millions de dollars pour détruire les données qu’ils détiennent et déchiffrer les fichiers concernés, mais ce faisant, ils sont devenus une actualité mondiale et, par conséquent, une monnaie d’échange dans les futures transactions entre les États-Unis et la Russie.
“DarkSide sait clairement qu’il est l’ennemi public numéro un en ce moment, même en présentant des excuses pour les dommages collatéraux causés à leur attaque. [and] d’autres affiliés criminels essaieront de se distancer de Darkside, pour éviter de se retrouver dans les futures enquêtes policières », a-t-il dit. «S’il y a un perdant, c’est la société de cyber-assurance derrière Colonial, qui doit maintenant couvrir les coûts.»
Robert Golladay, directeur EMEA et APAC à Illusoire, a déclaré que le fait que Colonial Pipeline ait pu avoir une assurance contre les ransomwares aurait pu être un facteur expliquant pourquoi il a été ciblé au départ. «Les pirates sont en train de déterminer qui est assuré, ce qui leur indique que l’entreprise possède des actifs précieux et sera en mesure de payer», a-t-il déclaré.
«Comme nous le voyons dans l’attaque coloniale, les instances de ransomwares augmentent en taille et en ampleur. Ce type d’attaque explose car il fonctionne, évolue et est prévisible, et c’est un moyen pour les attaquants de gagner de l’argent facilement. Certaines des entreprises criminelles, comme DarkSide, réinvestissent l’argent qu’elles gagnent dans les outils qu’elles utilisent. »
Dans un développement ultérieur, des rapports non confirmés ont émergé aujourd’hui (vendredi 14 mai) selon lesquels l’infrastructure du ransomware DarkSide a été saisie et mise hors ligne, peut-être dans le cadre d’une réponse des forces de l’ordre.
