L'attaque de DarkSide sur l'un des plus gros oléoducs de la Colonial Pipeline

Vue par Vladimir Kuskov, Head of threat exploration au sein de Kaspersky

Récemment, l’un des plus gros oléoducs des États-Unis, géré par la société Colonial Pipeline s’est retrouvé paralysé, suite à une cyberattaque attribuée au groupe d’attaquants Darkside.


Vladimir Kuskov commente :

DarkSide est un exemple typique de gang cybercriminel à la recherche de « gros gibier » avec pour objectif de gagner beaucoup d’argent. Le groupe travaille par le biais de programmes d'affiliation – ils proposent leur "produit" ransomware à des "partenaires" qui peuvent, à leur tour, acheter l'accès à des organisations à d'autres cybercriminels et l'utiliser pour déployer le ransomware.

Contrairement à d’autres groupes, DarkSide prétend avoir un code de conduite : ne pas s’attaquer aux hôpitaux, aux écoles, aux institutions gouvernementales et aux ONG. Fait intéressant, DarkSide a publié un commentaire sur leur site lundi. À en juger par la déclaration, ils ne s'attendaient apparemment pas à des conséquences de cette ampleur après la dernière attaque contre Colonial Pipeline et ils prévoient dorénavant d'introduire une sorte de "modération" afin d’éviter que ce genre de situation ne se reproduise.

Il existe deux versions du ransomware développé par DarkSide, un pour Windows et un pour Linux. Toutes deux sont dotées d’un schéma cryptographique sécurisé, de sorte que le décryptage ne peut se faire sans la clé du criminel. Par le passé, ils avaient commis une erreur en utilisant les mêmes clés pour plusieurs victimes ce qui avait permis aux sociétés de sécurité de créer un outil de décryptage pouvant aider les victimes à récupérer leurs fichiers sans payer la rançon. DarkSide a rapidement réagi à cette situation sur le forum darknet et a corrigé ce problème de sorte que les nouvelles victimes n'ont malheureusement plus cette option.
Les produits Kaspersky permettent de se prémunir du ransomware proposé par DarkSide et ont notamment détecté Trojan-Ransom.Win32.Darkside et Trojan-Ransom.Linux.Darkside.

Les attaques ciblées de ransomware sont devenues plus fréquentes ces deux dernières années. Il est aujourd’hui essentiel pour les entreprises de renforcer leur protection et celle de leurs réseaux afin de limiter les risques.

Voici quelques conseils :

• Ne pas exposer les services de bureau à distance aux réseaux publics, sauf en cas d'absolue nécessité, et de toujours utiliser des mots de passe forts pour ces services ;
• Installer rapidement les correctifs disponibles pour les solutions VPN fournissant un accès aux salariés distants et faisant office de passerelles dans son réseau ;
• Garder toujours les logiciels à jour sur tous les appareils utilisés pour empêcher les ransomwares d'exploiter les vulnérabilités.

En outre, il est capital de concentrer la stratégie de défense sur la détection des mouvements latéraux et sur l'exfiltration des données vers Internet, et d’accorder une attention particulière au trafic sortant pour détecter les potentielles connexions des cybercriminels. L’utilisation de solution EDR (Endpoint Detection Response) et/ou MDR (Managed Detection Response) telles que Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response) permettent d’identifier et de stopper l'attaque dès le début du processus, avant que les attaquants n'atteignent leurs objectifs finaux.

Source : Kaspersky

Et vous ?

Que pensez-vous de cette analyse ? Est-elle pertinente ?
Comment sont gérées les menaces et attaques de ransomware au sein de votre organisation ?

Voir aussi :

Ransomwares ciblés : les attaques contre les organisations ayant une forte notoriété ont quasiment été multipliées par huit, soit 767 %, entre 2019 et 2020, selon le dernier rapport de Kaspersky

Kaspersky dévoile 5 nouvelles méthodes utilisées par les gangs de ransomware aujourd'hui, qui ont désormais recours à des attaques plus ciblées