{"id":16925,"date":"2021-05-17T14:12:31","date_gmt":"2021-05-17T12:12:31","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16925"},"modified":"2021-05-17T14:12:31","modified_gmt":"2021-05-17T12:12:31","slug":"pipeline-ransomware-mitigation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/pipeline-ransomware-mitigation\/16925\/","title":{"rendered":"Comment Colonial Pipeline a g\u00e9r\u00e9 une attaque de ransomware"},"content":{"rendered":"

La r\u00e9cente attaque par ransomware contre Colonial Pipeline, l\u2019entreprise qui contr\u00f4le le r\u00e9seau d\u2019ol\u00e9oducs qui fournit du carburant \u00e0 une grande partie de la c\u00f4te Est des \u00c9tats-Unis est l\u2019une des plus grandes de toute l\u2019histoire. Naturellement, les d\u00e9tails concernant l\u2019attaque n\u2019ont pas \u00e9t\u00e9 rendus publics, mais certaines bribes d\u2019informations ont \u00e9t\u00e9 partag\u00e9es par les m\u00e9dias, ce qui nous permet d\u2019en tirer une conclusion\u00a0: informer rapidement les forces de l\u2019ordre aide \u00e0 r\u00e9duire les d\u00e9g\u00e2ts. Bien entendu, tout le monde n\u2019a pas ce choix-l\u00e0 car dans certains \u00e9tats, les victimes sont oblig\u00e9es d\u2019informer les organismes de r\u00e9glementation. Cependant, m\u00eame si ce n\u2019est parfois pas n\u00e9cessaire, cela peut vraiment aider.<\/p>\n

Attaque<\/h2>\n

Le 7 mai, le ransomware a touch\u00e9 Colonial Pipeline, une entreprise qui g\u00e8re le plus long ol\u00e9oduc destin\u00e9 au transport d\u2019hydrocarbures sur la c\u00f4te Est des \u00c9tats-Unis. Les employ\u00e9s ont d\u00fb d\u00e9connecter certains syst\u00e8mes d\u2019informations car certains ordinateurs \u00e9taient chiffr\u00e9s et afin que l\u2019infection ne se propage pas. Cet incident a caus\u00e9 des retards dans l\u2019approvisionnement en carburant de la c\u00f4te Est, ce qui a provoqu\u00e9 une hausse de 4 % des contrats \u00e0 terme sur l\u2019essence. Afin de limiter les d\u00e9g\u00e2ts, l\u2019entreprise pr\u00e9voit d\u2019augmenter les livraisons de carburant<\/a>.<\/p>\n

L\u2019entreprise continue de restaurer son r\u00e9seau, mais selon des informations du blog de Zero Day<\/a>, le probl\u00e8me ne se trouve pas dans le r\u00e9seau de services mais plut\u00f4t dans le syst\u00e8me de facturation.<\/p>\n

Fermeture f\u00e9d\u00e9rale<\/h2>\n

Les op\u00e9rateurs de ransomwares modernes non seulement chiffrent les donn\u00e9es et demandent une ran\u00e7on pour les d\u00e9chiffrer, mais ils volent \u00e9galement ces informations pour s\u2019en servir comme moyen de pression afin d\u2019extorquer les victimes. En ce qui concerne Colonial Pipeline, les pirates informatiques se sont empar\u00e9s d\u2019environ 100 Gb de donn\u00e9es<\/a> de l\u2019entreprise.<\/p>\n

Cependant, selon Washington Post<\/em><\/a>, des enqu\u00eateurs externes ont vite su ce qu\u2019il s\u2019\u00e9tait pass\u00e9 et o\u00f9 se trouvaient les donn\u00e9es vol\u00e9es et ils ont par la suite contact\u00e9 le FBI. Les f\u00e9d\u00e9raux, \u00e0 leur tour, ont contact\u00e9 le fournisseur d\u2019acc\u00e8s Internet qui poss\u00e8de le serveur o\u00f9 se trouvaient les donn\u00e9es t\u00e9l\u00e9charg\u00e9es, et l\u2019ont isol\u00e9. Par cons\u00e9quent, les cybercriminels ne devraient plus avoir acc\u00e8s aux donn\u00e9es qu\u2019ils ont vol\u00e9es \u00e0 Colonial Pipeline. Cette rapidit\u00e9 d\u2019action a au moins aid\u00e9 \u00e0 limiter les d\u00e9g\u00e2ts.<\/p>\n

Le fait de savoir ce qui est arriv\u00e9 ne remettra pas les principaux ol\u00e9oducs en service, mais les d\u00e9g\u00e2ts, assez cons\u00e9quents, auraient pu \u00eatre bien pires.<\/p>\n

Origine<\/h2>\n

Il semblerait qu\u2019il s\u2019agisse d\u2019une attaque du ransomware DarkSide qui peut \u00eatre distribu\u00e9 \u00e0 la fois sur Windows et Linux. Les produits de Kaspersky d\u00e9tectent ce malware en tant que Trojan-Ransom.Win32.Darkside et Trojan-Ransom.Linux.Darkside. Ce malware utilise de puissants algorithmes de cryptage, ce qui rend impossible la restauration des donn\u00e9es sans une cl\u00e9.<\/p>\n

\u00c0 premi\u00e8re vue, le groupe DarkSide ressemble \u00e0<\/a> un fournisseur de services en ligne dot\u00e9 d\u2019un support technique, d\u2019un service de communication et d\u2019un centre de presse. Un message laiss\u00e9 par les responsables sur leur site Web laisse entendre que leur motivation \u00e9tait purement financi\u00e8re et non politique.<\/p>\n

\"\"<\/p>\n

Ce groupe utilise un mod\u00e8le d\u2019abonnement RaaS (ransomware-as-a-service<\/a>) et fournit \u00e0 leurs partenaires un logiciel ainsi qu\u2019une infrastructure connexe pour mener une attaque. Un de ces partenaires est l\u2019auteur de l\u2019attaque ciblant Colonial Pipeline. Selon DarkSide, le groupe n\u2019avait pas pour objectif d\u2019engendrer de telles r\u00e9percussions sociales, et dor\u00e9navant, il surveillera de pr\u00e8s quelle victime leurs \u00ab\u00a0interm\u00e9diaires\u00a0\u00bb choisissent. Cependant, il est difficile de prendre au s\u00e9rieux une seule d\u00e9claration parmi les nombreux tours de passe-passe de relations publiques.<\/p>\n

Comment se prot\u00e9ger<\/h2>\n

Afin de prot\u00e9ger votre entreprise des ransomwares, nos experts recommandent ce qui suit\u00a0:<\/p>\n