Colonial Pipeline ne paiera probablement pas des millions de rançons exigées par les pirates informatiques
Le groupe, précédemment identifié comme DarkSide, a exigé près de 5 millions de dollars, ont déclaré deux sources proches de l’incident.
Mais il semble que Colonial Pipeline n’aura pas à payer. La société, en collaboration avec des représentants du gouvernement américain, a réussi à récupérer les données les plus importantes qui ont été volées, selon une personne familière avec la réponse. La personne a déclaré que les données n’avaient pas été récupérées auprès des pirates informatiques via un paiement par rançongiciel, mais en tirant parti de l’utilisation par les attaquants de serveurs intermédiaires aux États-Unis pour stocker les informations volées.
Des experts ont également déclaré à CNN qu’une action précoce de la société signifie qu’elle pourrait être en mesure de restaurer ses systèmes sans payer la rançon.
Cette décision semble avoir permis à Colonial de prendre des mesures pour restaurer son système informatique à partir de sauvegardes, plutôt que de payer la rançon, selon Allan Liska, architecte de sécurité principal chez Recorded Future.
« Étant donné que les données exfiltrées ont été coupées et n’ont jamais atteint la » patrie « , il n’y a pas de véritable incitation supplémentaire à payer une extorsion maintenant », a déclaré Liska, se référant à ce qui est probablement la Russie ou un autre pays d’Europe de l’Est. Mercredi, l’attachée de presse de la Maison Blanche, Jen Psaki, a évoqué les directives du FBI sur l’opportunité de payer des rançons. « Bien sûr, les conseils du FBI ne sont pas de faire cela », a-t-elle déclaré.
Le gouvernement américain n’a pas donné de conseils à Colonial Pipeline sur l’opportunité de payer la rançon ou non, a déclaré une autre source.
Le fait qu’il n’y ait « aucune indication que l’acteur de la menace se soit déplacé latéralement » vers les réseaux opérationnels de la société, ont déclaré mardi la Cybersecurity and Infrastructure Security Agency et le Federal Bureau of Investigation.
Colonial a également déclaré mercredi soir avoir lancé le redémarrage des opérations de pipeline, mais a reconnu « qu’il faudra plusieurs jours pour que la chaîne d’approvisionnement de livraison des produits revienne à la normale ».
De nouveaux détails émergent sur la décision de fermer le pipeline
Pendant ce temps, de nouveaux détails émergent sur la décision de Colonial de fermer proactivement son pipeline la semaine dernière, une décision qui a conduit à des achats de panique et à des conduites massives à la pompe à essence.
La société a interrompu ses opérations parce que son système de facturation était compromis, trois personnes informées à ce sujet ont déclaré à CNN, et elles craignaient de ne pas être en mesure de déterminer combien facturer les clients pour le carburant qu’ils recevaient.
Une personne familière avec la réponse a déclaré que le système de facturation est essentiel à l’exploitation sans entrave du pipeline. C’est en partie la raison pour laquelle sa remise en service a pris du temps, a déclaré cette personne.
Interrogé sur la question de savoir si l’arrêt était motivé par des préoccupations concernant le paiement, le porte-parole de la société a déclaré: «En réponse à l’attaque de cybersécurité contre notre système, nous avons mis certains systèmes hors ligne de manière proactive pour contenir la menace, ce qui a interrompu temporairement toutes les opérations de pipeline et affecté certains des nos systèmes informatiques. «
Pour le moment, rien n’indique que les systèmes technologiques opérationnels de l’entreprise aient été compromis par les attaquants, a ajouté le porte-parole.
Le porte-parole des colonies a déclaré qu’il ne commenterait pas la rançon « pour le moment », citant l’enquête en cours. Mais les demandes de rançon représentent généralement entre 1 et 3% du chiffre d’affaires brut d’une entreprise et sont généralement négociées à 1 à 2%, selon une source familière avec les tendances récentes des paiements de ransomware.
Le gouvernement s’efforce d’identifier les pirates informatiques individuels
Dans le même temps, les responsables gouvernementaux ont travaillé pour identifier les pirates informatiques derrière l’attaque afin de les tenir responsables.
Dans une alerte conjointe du gouvernement fédéral émise mardi soir, CISA et le FBI ont confirmé que DarkSide était utilisé comme un « ransomware-as-a-service », dans lequel les développeurs du ransomware reçoivent une part des revenus des acteurs cybercriminels qui le déploient. , appelés «affiliés».
L ‘«affilié» dans cette affaire était probablement russe, selon des sources proches de l’enquête. L’affilié pourrait être une seule personne, a déclaré l’une des sources.
Il y a également des indications que les acteurs individuels qui ont attaqué Colonial, en conjonction avec DarkSide, pourraient avoir été des hackers inexpérimentés ou novices, plutôt que des professionnels expérimentés, selon trois sources proches de l’enquête Colonial.
David Kennedy, président de la société de cybersécurité TrustedSec, a noté que le modèle commercial de DarkSide consiste à fournir aux attaquants aux compétences limitées le financement et les ressources dont ils ont besoin pour lancer réellement les attaques, fournissant une plate-forme dont les deux parties peuvent profiter.
Parmi les signes indiquant que les pirates étaient des novices, il y a le fait qu’ils ont choisi une cible à haut risque qui traite dans une entreprise à faible marge, ce qui signifie que l’attaque était peu susceptible de produire le type de paiement que les acteurs expérimentés du ransomware recherchent généralement, ont déclaré les sources. CNN.
« Il s’agissait d’une grave erreur de calcul de la part des pirates », a déclaré une source à CNN, notant que les pirates n’avaient probablement pas prévu que leur attaque conduirait à la fermeture de l’un des plus grands systèmes de pipeline de produits raffinés des États-Unis, ce qui a déclenché l’urgence de la Maison Blanche. réunions et une réponse pangouvernementale.
Cette histoire a été mise à jour avec des rapports supplémentaires.