Journal d'une attaque par ransomware : les coulisses de l'incident de Colonial Pipeline

8 octobre 2021
Kaseya
Ransomware

Une attaque par ransomware porte un coup dévastateur à toute organisation. Si les pertes financières sont la première chose qui vient à l'esprit, d'autres aspects de l'incident peuvent s'avérer tout aussi graves, voire pires. Les perturbations causées par une seule attaque par ransomware se répercutent sur l'ensemble des activités et créent un effet domino pouvant avoir des conséquences de grande ampleur. L'incident lié au ransomware qui a touché Colonial Pipeline en mai 2021 illustre bien ce phénomène d'effet domino.   

Les entreprises victimes d’un rançongiciel perdent en moyenne six jours ouvrables, et 37 % d’entre elles subissentune interruption de service d’une semaine ou plus. C’est un luxe que personne ne peut se permettre, surtout en cette période d’incertitude économique où les budgets sont déjà très serrés. La perturbation subie par Colonial Pipeline a non seulement affecté sa productivité, mais a également eu des répercussions sur la vie quotidienne de nombreux Américains, mettant en lumière le danger que représentent les cyberattaques visant des infrastructures ou des services essentiels. La plupart des attaques par ransomware sont des opérations complexes et obscures, dont les détails précis sont rarement révélés. Mais l'incident de Colonial Pipeline a fait l'objet d'enquêtes, de recherches et de reportages approfondis, ce qui offre un aperçu rare du déroulement d'une attaque par ransomware. 

5 choses à retenir sur les ransomwares et leur impact sur les entreprises 

L'histoire de l'incident du Colonial Pipeline

Mise en place de l'opération 

Le groupe de ransomwareDarkSides’est fait connaître pour avoir mené une attaque réussie contre Colonial Pipeline, empochant une rançon estimée à un peu plus de 4 millions de dollars. Mais cette opération n’a pas été menée directement par les développeurs et les opérateurs de DarkSide. L’attaque contre Colonial Pipeline a en effet été perpétrée par une filiale de cette vaste organisation, qui a utilisé le logiciel malveillant propriétaire de DarkSide.  Cette filiale a recruté ses propres sous-traitants viades forums du dark webet a rassemblé des ressources provenant de marchés de données et de dépôts du dark web pour mener à bien son projet. 

C'est alors que le gang des pirates a déclenché son piège, prenant Colonial Pipeline pour cible lors d'une attaque dévastatrice qui a paralysé le plus grand oléoduc des États-Unis. Le point d'entrée du gang a été un simple mot de passe d'employé piraté qui leur a ouvert les portes du royaume. À l'aide de ce mot de passe volé, l'affilié de DarkSide s'est glissé à l'intérieur du système de sécurité numérique de Colonial Pipeline, certes peu rigoureux, et a livré sa cargaison, le ransomware propriétaire de DarkSide, afin de chiffrer les systèmes et les données de Colonial Pipeline. Ensuite, ce fut un jeu d'enfant : l'affilié a programmé un minuteur pour le déploiement du malware, a formulé sa demande de rançon et s'est contenté d'attendre que l'argent arrive.  

Déclencher le piège

Un peu plus d'une semaine après l'intrusion initiale, l'infection par le ransomware a commencé, marquant le début de la phase finale de l'opération menée par les pirates.  Un employé qui commençait sa journée de travail dans la salle de contrôle centrale de Colonial Pipeline a vu s'afficher sur son ordinateur une demande de rançon exigeant une cryptomonnaie et a appelé son supérieur. C'est alors que la course contre la montre a commencé pour Colonial Pipeline, qui a tenté de devancer l'infection afin de préserver ses systèmes et ses données. Après avoir fermé le pipeline pour tenter de limiter les dégâts et d'empêcher les pirates de pénétrer plus avant, Colonial a dû se démener pour faire appel à des experts.  

Les pirates ont paralysé Colonial Pipeline, provoquant des conséquences désastreuses et perturbant l’approvisionnement en essence dans tout l’est des États-Unis. Le battage médiatique autour de cette attaque a poussé des consommateurs inquiets à faire la queue pendant des heures dans les stations-service, craignant une pénurie de carburant imminente et potentiellement durable qui, en réalité, ne s’est jamais concrétisée. Mais cela n’avait aucune importance. Tous les grands médias ont couvert cet événement majeur et la cybersécurité est devenue le sujet de prédilection de tous, notamment en ce qui concerne son utilisation dans le cadre de la guerre et du piratage par des États-nations, bien qu’il ait finalement été établi qu’il ne s’agissait pas d’une opération menée par des acteurs étatiques, mais simplement par des cybercriminels cupides.  

Récolter les bénéfices (et en subir les conséquences) 

Outre les rançons versées pour le déchiffrement, le groupe a dérobé environ 100 gigaoctets de données susceptibles d’être hautement sensibles. Cela leur a offert une opportunité supplémentaire de tirer profit de la situation, que Colonial Pipeline choisisse ou non de payer la rançon. De plus, payer les attaquants ne garantit pas que les données de la victime seront restituées dans leur intégralité, ni qu’elles ne seront pas dupliquées ou utilisées dans le cadre d’une autre opération de cybercriminalité. Il n’y a jamais de garantie que le gang n’ait pas déjà copié et vendu vos données, et vous ne pouvez jamais être sûr qu’il dit la vérité lorsqu’il affirme ne pas l’avoir fait. En réalité,moins de 60 %des entreprises qui paient la rançon parviennent à récupérer ne serait-ce qu'une partie de leurs données, et 39 % des entreprises qui paient une rançon ne retrouvent jamais aucune de leurs données. 

À tous égards, l'attaque menée par l'affilié de DarkSide a été un succès retentissant. Les pirates ont empoché une somme colossale et mis la main sur une mine de données précieuses. Colonial Pipeline a versé aux attaquants au moins une rançon de 4,4 millions de dollars en très peu de temps. Le groupe DarkSide dans son ensemble a également tiré profit de cette opération : selon les chercheurs de FireEye, les affiliés de DarkSide sont tenus de reverser environ 25 % des rançons inférieures à 500 000 dollars, et 10 % de toute rançon supérieure à 5 millions de dollars, à la hiérarchie du groupe.  

Les cybercriminels à l'origine de cette opération ont fait sensation sur la scène internationale et dans les milieux du piratage informatique. Ils ont accumulé des ressources qui leur permettront de mener de futures opérations de cybercriminalité. Ils ont, d'une certaine manière, renforcé leur réputation et celle du groupe, tout en créant un problème qui a finalement conduit à la chute de DarkSide. Une enquête massive et dotée de moyens importants sur les circonstances et les acteurs de l'attaque contre Colonial Pipeline a contraint DarkSide à entrer dans la clandestinité et l'organisation s'est officiellement dissoute. Une partie de la rançon a ensuite été récupérée par le FBI lors d'une opération d'infiltration visant la cybercriminalité. 

Les ransomwares sont très rentables, en particulier la variante à double chiffrement privilégiée par DarkSide. Avant que le groupe ne disparaisse des radars à la suite de l'incident du Colonial Pipeline, DarkSide avait encaissé 90 millions de dollars en bitcoins au titre de rançons au cours de sa brève existence, selon les analystes de la blockchain chezElliptic. Ces derniers ont en outre estimé que le montant moyen des rançons versées dans le cadre d'une opération de DarkSide s'élevait à environ 1,9 million de dollars. Sur le butin total récolté par les opérations de DarkSide, ces experts estiment que 15,5 millions de dollars sont allés au développeur de DarkSide, tandis que 74,7 millions de dollars ont été versés à ses affiliés. 

Les prévisions ne sont pas bonnes 

Cette attaque a propulsé les ransomwares au cœur d’un débat de société plus large sur la manière de protéger les ressources essentielles et de se prémunir contre la cybercriminalité dans le monde numérique. À la suite de cette attaque, le gouvernement fédéral américain a lancé un site « Ransomware One-Stop » afin de regrouper en un seul endroit les ressources disponibles du gouvernement et d'apporter ainsi un soutien aux entreprises dans la lutte contre la cybercriminalité. Cette ressource arrive à point nommé : les attaques par ransomware ont continué de frapper les entreprises, atteignant des sommets sans précédent au deuxième trimestre 2021.  

  • Les ransomwares représentent désormais 69 % de toutes les attaques impliquant des logiciels malveillants  
  • Cela représente une hausse de 30 % par rapport au même trimestre de 2020. Cette augmentation comprend  
  • On a constaté une hausse spectaculaire de 45 % des attaques par ransomware rien qu'en avril 2021 
  • Des chercheurs britanniques ont constaté que 22 % des attaques survenues au premier trimestre 2021 étaient des attaques par ransomware    

L'avenir des risques liés aux ransomwares 

À quoi pouvons-nous nous attendre en matière d'évolution des ransomwares et de la cybercriminalité dans un avenir proche ? Voici trois de nos prévisions.  

  1.  Recours accru aux ransomwares comme arme 

En décembre 2020, le gouvernement américain et de nombreuses grandes entreprises ont pris la mesure de l’ampleur réelle d’uneattaque massive et ciblée menée par un État,à la suite d’une faille de sécurité chez SolarWinds, géant des logiciels de cybersécurité. Un enchevêtrement complexe de portes dérobées, de faux correctifs, de compromission de messageries professionnelles, de codes malveillants, d’hameçonnage et bien plus encore a été démêlé, révélant le fait alarmant que des pirates informatiques soutenus vraisemblablement par la Russie avaient infiltré les systèmes du gouvernement américain et des agences de défense pendant des mois, accédant à toutes sortes d’informations. Ce même groupe de pirates a également été impliqué dans des attaques contre Microsoft, Cisco, FireEye et d’autres grands acteurs du secteur technologique. Il s’agit là de l’une des plus grandes démonstrations à ce jour de l’utilisation des ransomwares comme outil d’espionnage, voire de guerre. 

2.Le risque de hameçonnage ne cesse d'augmenter  

Le risque de phishing explose, avec une hausse de près de 300 % en 2021 par rapport aux chiffres records de 2020. Une partie de cette augmentation peut être attribuée aux confinements liés à la pandémie, qui ont prolongé le télétravail et favorisé l'adoption de nouveaux modèles de travail hybrides. Malheureusement, on estimeque 74 % des organisations aux États-Unisont subi au moins une attaque de phishing en 2020, et 80 % des personnes interrogées dans le cadre d'une enquête menée au Royaume-Uni ont déclaré avoir également constaté une augmentation du nombre d'attaques de phishing auxquelles leur organisation a été confrontée. 

3.Augmentation des attaques stratégiques d'une précision redoutable 

Les chercheurs ont constaté que les attaques par ransomware ciblées ont connu une hausse vertigineuse de767 %, éclipsant largement tous les autres types d'attaques. Cette augmentation des messages malveillants, fruit d'une ingénierie sociale minutieuse, s'est particulièrement fait sentir dans la région Asie-Pacifique. Les chiffres récentsrecueillis par des chercheurs britanniquesdressent également un tableau inquiétant, avec une hausse record de 11 % en glissement annuel des attaques visant des cibles britanniques au premier trimestre 2021. Les entreprises britanniques ont subi en moyenne 172 079 cyberattaques chacune entre janvier et mars 2021, soit l'équivalent de 1 912 par jour. Les cybercriminels choisissent leurs cibles avec soin afin de tirer le maximum de profit de chaque attaque et de minimiser les enquêtes des forces de l'ordre qui pourraient les mettre dans une situation délicate. 

Découvrez le secret d'une défense efficace contre les ransomwares 

Pour lutter contre les ransomwares, il faut d'abord mettre un terme au phishing. Mettez en place en un clin d'œil une défense intelligente contre les menaces de ransomware grâce à la sécurité des e-mails automatisée et optimisée par l'IA deKaseya 365 . Solution idéale pour lutter contre le flot d'e-mails de phishing dangereux qui inondent toutes les entreprises,Kaseya 365 renforce la sécurité pour une protection accrue grâce à trois boucliers puissants. 

  • TrustGraph utilise plus de 50 points de données distincts pour analyser en profondeur les messages entrants avant de les autoriser à parvenir dans les boîtes de réception des employés. TrustGraph tire également des enseignements de chaque analyse effectuée, en intégrant ces informations à sa base de connaissances afin d'affiner en permanence votre protection et de continuer à apprendre sans intervention humaine.  
  • EmployeeShield ajoute un encadré clair et bien visible aux messages potentiellement dangereux, afin d'alerter les employés en cas de communications inattendues qui pourraient être indésirables et de leur permettre de signaler ce message en un seul clic pour qu'il soit examiné par un administrateur.    
  • Phish911 permet aux employés de signaler instantanément tout message suspect qu'ils reçoivent. Lorsqu'un employé signale un problème, l'e-mail en question n'est pas seulement supprimé de sa boîte de réception : il est supprimé de toutes les boîtes de réception et automatiquement mis en quarantaine pour être examiné par un administrateur. 

Le choix est clair : une solution de sécurité des e-mails intelligente et automatisée est la voie à suivre pour les entreprises en 2021 et au-delà. Laissez-nous vous aider à faire profiter votre entreprise des nombreux avantages de la sécurité automatisée à un prix abordable, sans pour autant renoncer à la fonctionnalité ni à l'innovation, en optant pourKaseya 365 .Réservez une démonstration dès aujourd'hui.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Obtenez une démo Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est un engagement envers des conditions flexibles, un partage des risques et un soutien dédié à votre entreprise.

Explorer Partner First Pledge

Rapport mondial de référence sur les MSP 2025

Le rapport mondial 2025 de Kaseya sur les prestataires de services gérés (MSP) est la ressource incontournable pour comprendre les perspectives du secteur.

Télécharger maintenant

Explorer les catégories

Du phishing aux ransomwares : comment Kaseya 365 protège vos applications SaaS

Les applications SaaS, telles que Microsoft 365 et Google Workspace, sont au cœur de presque tous les aspects des opérations numériques actuelles. Cependant, à mesure que les entreprises

Lire l'article de blog

Qu'est-ce que le « ransomware-as-a-service » (RaaS) ?

Le « ransomware-as-a-service » est un modèle économique dans lequel des cybercriminels développent des logiciels de rançon et les vendent ou les louent à des affiliés. Découvrez comment cela fonctionne et comment y mettre un terme.

Lire l'article de blog

Évitez les déboires informatiques pour la Saint-Valentin grâce à la détection des ransomwares

En cette Saint-Valentin, les cybercriminels du monde entier cherchent à vous briser le cœur. Leur objectif est de pirater

Lire l'article de blog