Colonial Pipeline a payé une rançon de 5 millions de dollars, selon les rapports

Colonial Pipeline, l’opérateur américain de l’infrastructure de distribution de combustibles fossiles qui a été frappé par une attaque ransomware DarkSide la semaine dernière, peut-être payé une rançon de 5 millions de dollars aux opérateurs ransomware dans les heures qui ont suivi son lock-out des systèmes critiques, selon les rapports.

Selon des sources anonymes proches de l’incident, Colonial Pipeline a payé la rançon dans une crypto-monnaie non identifiée et a reçu l’outil de décryptage. Toutefois, cet outil aurait fonctionné si lentement que l’entreprise a restauré une bonne quantité de ses données à partir de sauvegardes, ce qui a quelque peu nié le point de payer.

Bloomberg, qui a été le premier à signaler le paiement apparent, a également déclaré que le gouvernement américain était au courant qu’une rançon avait été payée.

Les livraisons de carburant à travers l’infrastructure colonial pipeline sont entendus pour avoir repris le mercredi 12 mai, et selon CNN, la reprise des opérations a été retardée parce que l’attaque ransomware frappé le système de facturation de l’entreprise – par conséquent, il a été forcé d’arrêter les fournitures parce qu’il ne pouvait pas garantir qu’il serait payé par ses clients.

Au moment d’écrire ces lignes, Imperva, partenaire de sécurité de Colonial Pipeline, bloque l’accès légitime à son site Web depuis l’extérieur des États-Unis en utilisant son service d’application cloud. Il n’a donc pas été possible au moment d’écrire ces lignes d’établir une réponse de la part de l’entreprise.

Andy Norton, responsable européen des risques cybernétiques chez Armis, a déclaré : « Je ne pense pas que nous sommes à la fin de cette histoire, il n’y a pas de gagnant clair ici. DarkSide peut avoir été payé 5 millions de dollars pour détruire les données qu’ils détiennent et décrypter les fichiers affectés, mais ce faisant, ils sont devenus un article de nouvelles mondiales et, par conséquent, une monnaie d’échange dans les futures transactions entre les États-Unis et la Russie.

« DarkSide sait clairement qu’il est l’ennemi public numéro un en ce moment, même en publiant des excuses sur les dommages collatéraux à leur attaque [and] d’autres affiliés criminels tenteront de prendre leurs distances avec Darkside, afin d’éviter de se faire rouler dans les futures enquêtes d’application de la loi », a-t-il déclaré. « S’il y a un perdant, c’est la compagnie d’assurance cybernétique derrière Colonial qui doit maintenant couvrir les coûts. »

Robert Golladay, directeur de la région EMEA et de l’APAC chez Illusive, a déclaré que le fait que Colonial Pipeline ait pu avoir une assurance contre ransomware aurait pu être un facteur dans la raison pour laquelle il a été ciblé pour commencer. « Les pirates sont de savoir qui est assuré, ce qui leur dit que l’entreprise a des actifs qui sont précieux et seront en mesure de payer, at-il dit.

« Comme nous le voyons dans l’attaque coloniale, les cas de ransomware sont de plus en plus en taille et en échelle.  Ce type d’attaque explose parce qu’il fonctionne, s’écaille et est prévisible, et c’est un moyen pour les attaquants de faire de l’argent facile. Certaines entreprises criminelles, comme DarkSide, entonnoir l’argent qu’elles font de nouveau dans les outils qu’ils utilisent.

Dans un autre développement, des rapports non confirmés ont émergé aujourd’hui (vendredi 14 mai) que l’infrastructure ransomware DarkSide a été saisi et mis hors ligne, peut-être dans une réponse des forces de l’ordre.