Colonial Pipeline Ransomware Group perd le contrôle de l’infrastructure serveur critique
Les criminels associés à l'attaque du ransomware DarkSide responsable de la paralysie des livraisons de carburant et de la flambée des prix du carburant aux États-Unis ont révélé que leurs «serveurs avaient été saisis» et que de l'argent avait été transféré sur un «compte inconnu».
DarkSide Ransomware-as-a-Service cesse ses opérations
L'attaque du ransomware DarkSide sur le pipeline colonial a provoqué des perturbations massives à travers les États-Unis. L'oléoduc transporte des produits pétroliers raffinés sur quelque 5500 miles à travers le pays, transportant environ 3 millions de barils de pétrole entre le Texas et New York par jour et représentant environ 45% de l'approvisionnement en carburant de la côte Est.
L'attaque du ransomware a mis hors ligne le pipeline critique, déclenchant des scènes frénétiques alors que les citoyens se précipitaient pour remplir toutes sortes de conteneurs de carburant en prévision des pénuries, forçant les prix du gaz à atteindre 3 dollars le gallon, le plus haut jamais enregistré depuis 2014.
En outre, Colonial a annoncé qu'il avait payé à l'opérateur de ransomware une rançon de 5 millions de dollars pour recevoir un outil de décryptage, mais qu'il devait encore recourir à la récupération de données «traditionnelle» car la société de ransomware n'a pas répondu assez rapidement. Bien que cela ressemble à un scénario gagnant-gagnant pour une entreprise de ransomware, d'autres victimes peuvent refuser de payer une rançon si elles pensent que l'entreprise ne fournira pas d'aide par la suite.
Maintenant, à la suite des événements, les opérateurs de ransomware-as-a-service ont informé leurs affiliés qu'ils avaient perdu le contrôle d'une partie importante du réseau de ransomware lui-même, y compris les serveurs de paiement, ainsi que des fonds qui ont été transférés vers d'autres comptes inaccessibles. .
Le message a été publié sur un forum russe sur la criminalité, bien que des sociétés de cybersécurité surveillant l'affaire, telles que Mandiant de FireEye, aient soulevé des soupçons concernant les annonces soudaines.
Le message a cité les pressions exercées par les forces de l'ordre et les pressions exercées par les États-Unis pour cette décision. @Mandiant n'a pas validé ces affirmations de manière indépendante et d'autres acteurs spéculent qu'il pourrait s'agir d'une arnaque à la sortie. (3/3)
– FireEye (@FireEye) 14 mai 2021
Non seulement le timing est très suspect, mais il correspond à d'autres opérations de ransomware-as-a-service vues précédemment. Après un score réussi, le service abandonne la carte pendant un moment, refaisant surface à une date ultérieure avec une nouvelle cible.
Cependant, l'annonce était accompagnée d'un petit bonus pour les autres victimes du même ransomware. Avant de fermer boutique, l'opérateur de ransomware fournira des décrypteurs à toute personne qui n'a pas encore payé une rançon, conformément au message précédent de l'opérateur selon lequel ils ne sont là que pour l'argent, et non pour causer des perturbations et des dommages matériels réels.
Aussi noble que cela puisse être, le mal est déjà fait pour de nombreuses personnes.
Le ransomware en tant que service maintient l'agilité des activités criminelles
Les ransomwares restent un fléau, les victimes étant confrontées à la bataille éternelle entre payer pour déchiffrer et récupérer des fichiers, tout en sachant que ces fonds alimentent des activités criminelles.
Dans ce cas, Colonial a estimé qu'il n'y avait pas d'autre choix que de payer pour recevoir un décrypteur – même si ce processus échouait.
De nombreuses entreprises veulent que les paiements par ransomware soient interdits, affirmant que le paiement n'encourage que les criminels à effectuer plus d'attaques. Mais alors que les attaques se poursuivent et que les gouvernements, les entreprises et les services publics en souffrent, le paiement des rançons doit sûrement être effectué au cas par cas.