Piratage de Colonial Pipeline : Le rançongiciel visant l'opérateur d'oléoducs américain a été mis hors service

CYBERATTAQUE Les hackers ont admis avoir perdu l’accès à plusieurs de leurs serveurs utilisés pour se faire payer

20 Minutes avec AFP

— 

Les serveurs du rançongiciel Darkside, auteur d'une cyberattaque dans une pipeline aux Etats-Unis, mis hors service.
Les serveurs du rançongiciel Darkside, auteur d'une cyberattaque dans une pipeline aux Etats-Unis, mis hors service. — Andrew H Walker/Shutterstock/SIPA

Mis hors ligne. Les serveurs de Darkside, le groupe de pirates informatiques derrière la cyberattaque ayant visé l'opérateur d'oléoducs américain Colonial Pipeline la semaine dernière, ont été mis hors service, a affirmé ce vendredi la firme de cybersécurité Recorded Future. Le hacker a admis que le rançongiciel Darkside avait perdu l’accès à plusieurs des serveurs que le groupe utilise pour héberger son blog ou se faire payer. Accessible via le navigateur TOR sur le darknet, la version clandestine d’Internet, le site de Darkside était inaccessible ce vendredi matin.

Plus tôt dans la journée, Toshiba TFIS, une filiale française du groupe technologique japonais Toshiba, spécialisée notamment dans les imprimantes, a reconnu avoir « subi, dans la nuit du 4 mai, un acte de piratage par le ransomware Darkside ayant déjà attaqué de nombreuses entreprises de toute taille ».

« Aucune fuite de données »

Le groupe japonais avait indiqué dans un communiqué séparé que les dommages étaient contenus à une partie de l’Europe et que les pirates n’avaient pas eu accès à des données de clients. Selon Toshiba TFIS, « les données vierges de tout virus ont pu être récupérées et la quantité de travail perdu a été très minime ». La filiale assure par ailleurs n’avoir détecté « aucune fuite de données », alors que des captures d’écran d’une revendication de Darkside annonçant une fuite de 740 gigaoctets de données circulent sur les réseaux sociaux.

« Le blocage du compte piraté a été effectué dans les 10 heures qui ont suivi » l’attaque, explique l’entreprise. « Il nous semble donc peu probable que dans ce laps de temps une telle quantité de données ait pu être extraite. » « La revendication est très crédible », a déclaré Valéry Marchive, rédacteur en chef du magazine LeMagIT, spécialisé dans la cybersécurité. Mais selon cet expert, « le site de Darkside n’est plus accessible actuellement » sur le darknet.

Suspecté d’être lié à la Russie

Darkside est apparu publiquement en août 2020 et s’est spécialisé dans les attaques au rançongiciel contre des entreprises, un procédé qui consiste à exploiter des failles de sécurité pour chiffrer et bloquer des systèmes informatiques, en exigeant une rançon pour les débloquer.

Selon la police fédérale américaine, le groupe criminel est derrière le piratage du réseau d'oléoducs Colonial Pipeline, le plus important des États-Unis pour les produits raffinés, qui a redémarré jeudi soir l’ensemble de son système après avoir été paralysé le week-end dernier. Le groupe, suspecté par certains experts d'être lié à la Russie, propose une plateforme de rançonnage à des pirates informatiques « affiliés », ces pirates et le groupe se partageant ensuite la rançon.