Comment Colonial Pipeline a géré une attaque de ransomware

Devez-vous contacter les autorités en cas de cyberattaque ?

La récente attaque par ransomware contre Colonial Pipeline, l’entreprise qui contrôle le réseau d’oléoducs qui fournit du carburant à une grande partie de la côte Est des États-Unis est l’une des plus grandes de toute l’histoire. Naturellement, les détails concernant l’attaque n’ont pas été rendus publics, mais certaines bribes d’informations ont été partagées par les médias, ce qui nous permet d’en tirer une conclusion : informer rapidement les forces de l’ordre aide à réduire les dégâts. Bien entendu, tout le monde n’a pas ce choix-là car dans certains états, les victimes sont obligées d’informer les organismes de réglementation. Cependant, même si ce n’est parfois pas nécessaire, cela peut vraiment aider.

Attaque

Le 7 mai, le ransomware a touché Colonial Pipeline, une entreprise qui gère le plus long oléoduc destiné au transport d’hydrocarbures sur la côte Est des États-Unis. Les employés ont dû déconnecter certains systèmes d’informations car certains ordinateurs étaient chiffrés et afin que l’infection ne se propage pas. Cet incident a causé des retards dans l’approvisionnement en carburant de la côte Est, ce qui a provoqué une hausse de 4 % des contrats à terme sur l’essence. Afin de limiter les dégâts, l’entreprise prévoit d’augmenter les livraisons de carburant.

L’entreprise continue de restaurer son réseau, mais selon des informations du blog de Zero Day, le problème ne se trouve pas dans le réseau de services mais plutôt dans le système de facturation.

Fermeture fédérale

Les opérateurs de ransomwares modernes non seulement chiffrent les données et demandent une rançon pour les déchiffrer, mais ils volent également ces informations pour s’en servir comme moyen de pression afin d’extorquer les victimes. En ce qui concerne Colonial Pipeline, les pirates informatiques se sont emparés d’environ 100 Gb de données de l’entreprise.

Cependant, selon Washington Post, des enquêteurs externes ont vite su ce qu’il s’était passé et où se trouvaient les données volées et ils ont par la suite contacté le FBI. Les fédéraux, à leur tour, ont contacté le fournisseur d’accès Internet qui possède le serveur où se trouvaient les données téléchargées, et l’ont isolé. Par conséquent, les cybercriminels ne devraient plus avoir accès aux données qu’ils ont volées à Colonial Pipeline. Cette rapidité d’action a au moins aidé à limiter les dégâts.

Le fait de savoir ce qui est arrivé ne remettra pas les principaux oléoducs en service, mais les dégâts, assez conséquents, auraient pu être bien pires.

Origine

Il semblerait qu’il s’agisse d’une attaque du ransomware DarkSide qui peut être distribué à la fois sur Windows et Linux. Les produits de Kaspersky détectent ce malware en tant que Trojan-Ransom.Win32.Darkside et Trojan-Ransom.Linux.Darkside. Ce malware utilise de puissants algorithmes de cryptage, ce qui rend impossible la restauration des données sans une clé.

À première vue, le groupe DarkSide ressemble à un fournisseur de services en ligne doté d’un support technique, d’un service de communication et d’un centre de presse. Un message laissé par les responsables sur leur site Web laisse entendre que leur motivation était purement financière et non politique.

Ce groupe utilise un modèle d’abonnement RaaS (ransomware-as-a-service) et fournit à leurs partenaires un logiciel ainsi qu’une infrastructure connexe pour mener une attaque. Un de ces partenaires est l’auteur de l’attaque ciblant Colonial Pipeline. Selon DarkSide, le groupe n’avait pas pour objectif d’engendrer de telles répercussions sociales, et dorénavant, il surveillera de près quelle victime leurs « intermédiaires » choisissent. Cependant, il est difficile de prendre au sérieux une seule déclaration parmi les nombreux tours de passe-passe de relations publiques.

Comment se protéger

Afin de protéger votre entreprise des ransomwares, nos experts recommandent ce qui suit :

  • Interdisez les connexions superflues aux Remote Desktop Services (Services Bureau à distance) comme par exemple un RDP à partir d’un réseau public, et utilisez toujours un ou des mots de passes forts pour ce genre de services ;
  • Installez tous les correctifs disponibles pour les solutions VPN que vous utilisez pour que les employés qui travaillent à distance se connectent au réseau de l’entreprise ;
  • Mettez à jour les logiciels et tous les appareils connectés afin d’empêcher l’exploit d’une vulnérabilité ;
  • Centrez votre stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration des données en prêtant une attention particulière au trafic sortant ;
  • Sauvegardez régulièrement vos données et assurez-vous que vous avez rapidement accès aux sauvegardes lors d’une urgence ;
  • Tirez profit des renseignements sur les menaces afin d’être toujours au courant des tactiques d’attaques, des techniques ainsi que des procédures ;
  • Utilisez des solutions de sécurité comme Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response qui aident à bloquer rapidement les attaques ;
  • Formez vos employés afin de les sensibiliser à la sécurité au sein de l'entreprise ;
  • Utilisez une solution de sécurité fiable pour la protection des terminaux qui empêche les exploits, détecte les comportements suspects et qui peut annuler les changements malveillants et restaurer le système.

Le cas de Colonial Pipeline montre l’avantage de contacter les autorités et sans tarder. Rien ne garantit qu’elles pourront aider, mais elles pourront minimiser les dégâts.

Conseils