ActuTech

Une attaque majeure de ransomware paralyse le plus grand gazoduc aux États-Unis

Une attaque massive de ransomware contre l’un des plus grands gazoducs des États-Unis, Colonial Pipeline, a conduit à sa fermeture vendredi. Le FBI, le Département de l’énergie et la Maison Blanche s’attaquent tous activement au problème et évaluent les dommages  après que Colonial Pipeline a annoncé vendredi qu’il avait fermé 5500 miles de pipeline le long de la côte Est.

La société, qui est responsable du transport de 45% du carburant utilisé sur la côte Est, a déclaré que ses réseaux informatiques d’entreprise avaient été violés, les attaquants de ransomware détenant des données en otage.

Colonial aurait embauché une société de cybersécurité, FireEye, dont la division de réponse aux incidents aiderait à l’enquête. 

L’analyse du ransomware a conduit à la conclusion qu’il s’agit d’une nouvelle souche connue sous le nom de DarkSide et les opérateurs à l’origine de l’attaque du ransomware sont également passés récemment à un programme d’affiliation en mars 2021. 

Le programme vise à recruter des acteurs menaçants pour propager des logiciels malveillants en violant les victimes du réseau d’entreprise, tandis que les développeurs principaux prennent en charge la maintenance des logiciels malveillants et de l’infrastructure de paiement. 

DarkSide, qui a commencé ses opérations en août 2020, a publié à ce jour les données volées de plus de 40 victimes. On ne sait pas immédiatement combien d’argent les attaquants ont demandé ni si Colonial Pipeline a payé. Un rapport distinct de Bloomberg a allégué que les cybercriminels derrière l’attaque avaient volé 100 Go de données sur son réseau.

Note de rançon de DarkSide

Les entreprises privées qui enquêtent sur les cyber-intrusions disent qu’elles traitent des cas impliquant DarkSide en utilisant un ransomware pour cibler des entreprises industrielles américaines. Mais de nombreux autres groupes de ransomwares semblent cibler ces entreprises en plus grand nombre que jamais, ont déclaré des analystes.

En outre, les chercheurs en cybersécurité estiment que DarkSide opère principalement en dehors de la Russie, que les responsables américains et les experts en cybersécurité ont accusés d’abriter des cybercriminels. Ces criminels évitent de cibler les victimes en Russie, disent les experts.

Il est cependant à noter qu’il n’y a rien sur le site officiel de fuite de DarkSide concernant l’attaque sur Colonial Pipeline. Le dernier message sur le site a été publié le 23 avril 2021, environ 700 Go de données présumées de Smile Brands Inc.

Une attaque majeure de ransomware paralyse le plus grand gazoduc aux États-Unis

L’année dernière, CISA a mis en garde les exploitants de pipelines contre la menace des ransomwares. CISA a répondu à une attaque de ransomware contre une installation de compression de gaz naturel dans laquelle l’attaquant a eu accès au réseau de l’entreprise, puis a pivoté vers le réseau opérationnel, où il a chiffré sur divers appareils. En conséquence, l’entreprise a arrêté ses opérations pendant environ deux jours, a déclaré CISA.

Commentaire d’un expert en cybersécurité

Lors d’une conversation avec Hackread.com, John Cusimano, vice-président d’aeCyberSolutions, a déclaré: «Grâce à la vaste expérience de notre entreprise dans l’évaluation des oléoducs et des gazoducs pour plusieurs des plus grands exploitants de pipelines du pays, nous avons constaté que la cybersécurité des pipelines est loin derrière celle des autres secteurs de l’énergie (O&G en amont et en aval et services d’électricité). »

«Une lacune commune dans l’industrie des pipelines est le manque de segmentation des réseaux de contrôle de supervision des pipelines et d’acquisition de données (SCADA), qui sont les réseaux qui relient le centre de contrôle des pipelines à chaque terminal, station de pompage, vanne d’isolement à distance et parc de réservoirs le long le pipeline. Ce sont de très grands réseaux couvrant de longues distances, mais ils sont généralement «plats», du point de vue de la segmentation du réseau », a déclaré M. Cusimano.

«Cela signifie qu’une fois que quelqu’un accède au réseau SCADA, il a accès à tous les appareils du réseau. Alors que les réseaux SCADA pipelines sont généralement séparés des réseaux commerciaux (IT) de l’entreprise par des pare-feu, de par leur conception, ces pare-feu transmettent certaines données entre les réseaux. »

«Par exemple, un logiciel de surveillance de réseau, tel que Solarwinds , peut être autorisé à travers le pare-feu afin de surveiller le réseau SCADA. Ces voies autorisées à travers le pare-feu sont des logiciels malveillants unidirectionnels ou des pirates peuvent passer du réseau informatique au réseau SCADA. C’était l’une de mes plus grandes préoccupations lorsque j’ai appris l’attaque des Solarwinds », a expliqué M. Cusimano.

L’autre grand défi de la sécurisation des réseaux SCADA pipeliniers est qu’ils se branchent dans chaque installation le long de centaines de kilomètres de pipeline. Certaines de ces installations sont situées dans des endroits très éloignés avec peu ou pas de sécurité physique, ce qui signifie que si un attaquant violait la sécurité de l’une de ces installations, il pourrait accéder au réseau. »

«Enfin, les réseaux SCADA reposent sur une utilisation intensive des communications sans fil (par exemple, micro-ondes, satellite et cellulaire). La violation des signaux sans fil ou le vol d’un modem cellulaire sur un site distant pourrait permettre à un attaquant d’accéder à l’ensemble du réseau SCADA », a averti M. Cusimano.

Si vous aimez le contenu et souhaitez soutenir l’amélioration du site,
pensez à apporter votre contribution en cliquant ici s’il vous plaît ! CE N’EST PAS OBLIGATOIRE, MERCI! : ‘)

Leave your vote

Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page

Log In

Forgot password?

Forgot password?

Enter your account data and we will send you a link to reset your password.

Your password reset link appears to be invalid or expired.

Log in

Privacy Policy

Add to Collection

No Collections

Here you'll find all collections you've created before.

To The Pandamoon Nous aimerions vous montrer des notifications pour les dernières news et mises à jour.
Rejeter
Autoriser les notifications