Archives par mot-clé : Colonial Pipeline Co

Un mot de passe compromis serait la porte d’entrée de pirates informatiques dans le réseau de Colonial Pipeline

Suite à l’attaque qui a été subi par ces systèmes informatiques, le géant américain Colonial Pipeline a mis sur le coup une entreprise de cybersécurité chargé de mener l’enquête.

Selon les résultats fournis par cette entreprise, l’attaque aurait réussi à l’aide de mots de passe compromis. Une cyberattaque qui qui a causé la fermeture de la société de distribution de carburant à travers les États-Unis.

Cet article va aussi vous intéresser : Les autorités américaines réussissent à saisir la rançon versée aux pirates informatiques par Colonial Pipeline

Selon la société de cybersécurité embauchée par la société américaine, le mot de passe corrompu sur est lié à l’utilisation d’un compte de réseau virtuel privé qui était utilisé auparavant. Un compte qui n’est plus actif aujourd’hui. L’informations a été confirmé par le vice-président de la division criminalistique de FireEye, Mandiant.

Le premier problème concerne le compte qui lui n’était pas protégé par une couche de sécurité tel que l’authentification à multiples facteurs. En clair, les conclusions émises par le spécialiste de Mandiant, chargé de l’enquête tout s’est joué par un mot de passe. Durant l’interview ces derniers déclarent : « les pirates informatiques liés au groupe de cybercriminels opérateurs du ransomware DarkSide ont utilisé un seul mot de passe compromis sur un réseau privé virtuel (VPN), accédant aux serveurs de Colonial le 29 avril par le biais d’un compte qui n’était plus utilisé, mais qui pouvait encore accéder aux réseaux de la société. ».

Cependant, on ne sait toujours pas comment les pirates informatiques ont réussi à mettre la main sur le mot de passe corrompu. On retient tout de même le danger que constitue les pirates opportunistes. Il n’est pas moins, du manque d’hygiène de la part du personnel d’une entreprise surtout une entreprise aussi importante que Colonial Pipeline.

À titre de rappel, précisons l’attaque informatique subie par le géant américain a été révélé le 7 mai 2021 après qu’un employé a vu apparaître sur l’écran d’un ordinateur de la salle de contrôle une demande de rançon par les pirates informatiques. L’attaque est attribuée à propos de cybercriminels derrière le programme informatique du nom de DarkSide. Ce groupe de pirates informatiques serait est d’origine russe. En plus de déployer eux-mêmes leur rançongiciel, ces derniers ont tendance à le mettre à la disposition d’autres groupes de pirates informatiques, on échange de recevoir une partie des rançons qu’ils obtiendront.

Pour ce qu’il en est du mode opératoire de DarkSide, c’est presque classique dans le domaine. En effet, à l’instar de plusieurs autres groupes, il cible généralement des entreprises ou des organisations ayant des polices d’assurance contre des attaques informatiques et bien sûr qu’ils détiennent dans des données suffisamment sensibles pour les contraindre à payer la rançon sous forme de chantage. Le Président Directeur Général de Colonial Pipeline a reconnu avoir payé une rançon de 4,4 millions de dollars aux Cybercriminels.

Selon le spécialiste en sécurité informatique chargé de l’enquête, le mot de passe corrompu qui servit aux pirates informatiques à réussir leur coup était disponible sur le forum du dark web, ce qui signifie qu’un employé de colonial pipeline a utilisé ou continue d’utiliser les mêmes mots de passe sur plusieurs comptes.

L’un des aspects les plus délicats et qui fâche dans cette histoire, c’est le fait que le compte concerné ne pas protéger par aucun code ou aucune couche supplémentaire de sécurité. En d’autres termes, pas de d’authentification multiples.

« Ils n’ont pas mis en œuvre l’authentification multifacteur sur leurs VPN. Il s’agit de l’un des vecteurs d’attaque les plus courants. Les VPN à eux seuls ne suffisent pas », a déclaré le spécialiste.

« Nous avons effectué une recherche assez exhaustive de l’environnement pour essayer de déterminer comment ils ont obtenu ces informations d’identification », souligne Carmakal. « Nous ne voyons aucune preuve d’hameçonnage pour l’employé dont les informations d’identification ont été utilisées. Nous n’avons pas vu d’autres preuves de l’activité de l’attaquant avant le 29 avril ». Ajoute ce dernier.

En outre, l’enquête a montré que rien ne prouvait manifestement que les pirates informatiques ont réussi à avoir accès à des infrastructures qui était de Colonial Pipeline.

De son côté, les premiers responsables du géant américain a interpellé le gouvernement sur la nécessité de s’attaquer aux pirates informatiques qui se cache derrière les frontières de la Russie. « En fin de compte, le gouvernement doit se concentrer sur les acteurs eux-mêmes. En tant qu’entreprise privée, nous n’avons pas la capacité politique de fermer les pays hôtes qui abritent ces mauvais acteurs ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les autorités américaines réussissent à saisir la rançon versée aux pirates informatiques par Colonial Pipeline

Durant le mois de mai dernier, le géant américain Colonial Pipeline a été victime d’une attaque de type rançongiciel.

Une attaque qui a fait la une des journaux et il y avait de quoi. En effet, la cyberattaque a eu des conséquences lourdes pour la société à savoir les perturbations au niveau de son activité qui a conduit à un défaut d’approvisionnement en essence et un kérosène affectant toute la côte est des États-Unis.

Cet article va aussi vous intéresser : DarkSide : qui se cache derrière la cyberattaque du pipeline Américain

La société avait alors signifié à la police fédérale américaine que les pirates informatiques avaient réussi à accéder à son système informatique, et exigeait à cet effet le paiement d’une rançon s’élevant à 75 bitcoins. Rançon qui a bien évidemment été payée par la société pour récupérer le fonctionnement normal de son système.

Croyant que cette affaire était terminée quelques temps qui suit à savoir le lundi dernier, les autorités américaines, à savoir le ministère de la justice déclarait publiquement avoir réussi à récupérer 63,7 bitcoin en sur le 75 versés par la société. La réussite de cette opération serait due à une opération d’envergure initiée par la police fédérale américaine ainsi qu’une clé privée dans quelle disposait.

On se rappelle que à mi mai 2021, le groupe de pirate informatique à l’origine de l’attaque dirigée contre Colonial Pipeline, DarkSide, avait annoncé cessé toute activité. L’une des raisons aurait été que les autorités avaient réussi à saisir leur réserve des cryptomonnaies ainsi que leurs serveurs. Nous nous rendons compte alors que le communiqué du département de la justice américaine est bel et bien conforme à ce qui a été signifié par les cybercriminels. En tout, c’est 2,3 millions de dollars saisis par le FBI. L’opération a été conjointe avec les services du ministère de la justice du nom de Ransomware and Digital Extortion Task Force (Groupe de travail sur les ransomwares et l’extorsion numérique).

La somme récupérée par les autorités américaines représenterait la moitié de la rançon versée par Colonial Pipeline, soit 4,4 millions. Malgré avoir verser la rançon, le PDG de la société américaine affirme que l’outil de déchiffrement n’a pas servi à grand-chose. En effet, selon ce dernier, il a fallu pour reconstruire le système par d’autres moyens.

Toutefois, il ne faut pas nier que la saisie a quand même quelque chose de remarquable. Avec cela, les autorités américaines espèrent supprimer la motivation de ses attaques aux rançongiciels.

« Aujourd’hui, nous avons privé une entreprise cybercriminelle de l’objet de son activité, de son produit financier et de son financement », a signifié Paul M. Abbate, le directeur adjoint du FBI, lors d’une conférence de presse. « Pour les cybercriminels motivés financièrement, en particulier ceux qui sont vraisemblablement situés à l’étranger, couper l’accès aux revenus est l’une des conséquences les plus importantes que nous puissions imposer » ajoute ce dernier. « Suivre l’argent reste l’un des outils les plus basiques, mais les plus puissants, dont nous disposons », a signifié ce lundi, Lisa Monaco, le procureur général adjoint, lors de l’annonce du département de la justice. « Les paiements de rançon sont le carburant qui propulse le moteur de l’extorsion numérique, et l’annonce d’aujourd’hui démontre que les États-Unis utiliseront tous les outils disponibles pour rendre ces attaques plus coûteuses et moins rentables pour les entreprises criminelles », note cette dernière.

« Les extorqueurs ne verront jamais cet argent », a fait remarquer Stephanie Hinds, le procureur américain par intérim pour le District Nord de la Californie. « Les nouvelles technologies financières qui tentent d’anonymiser les paiements ne fourniront pas un rideau derrière lequel les criminels seront autorisés à faire les poches des Américains qui travaillent dur ».

Au-delà de tout ceci, on sait que grâce à une clé privée, le FBI a réussi à remonter jusqu’aux bitcoins et les saisir.

« Comme l’indique la déclaration sous serment, en examinant le grand livre public de Bitcoin, les forces de l’ordre ont pu suivre de multiples transferts de bitcoins et identifier qu’environ 63,7 bitcoins, représentant le produit du paiement de la rançon par la victime, avaient été transférés à une adresse spécifique, pour laquelle le FBI possède la « clé privée », ou l’équivalent approximatif d’un mot de passe nécessaire pour accéder aux actifs accessibles à partir de l’adresse Bitcoin spécifique. Ces bitcoins représentent le produit d’une intrusion informatique et des biens impliqués dans le blanchiment d’argent et peuvent être saisis en vertu des lois sur la confiscation pénale et civile », Pouvait-on lire dans le communiqué département de la justice américaine.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

DarkSide : qui se cache derrière la cyberattaque du pipeline Américain

En début d’année, il a été mis en évidence les super attaques qui a touché de plein fouet un oléoduc américain.

Selon les informations qui ont circulé sur le sujet, cette attaque informatique sur le fait d’un groupe de cybercriminels connu sous la dénomination de DarkSide. Ledit groupe de pirates informatiques serait très organisé secouant sur le passage la diplomatie américaine.

Cet article va aussi vous intéresser : Colonial Pipeline Co

Pour mener l’enquête, c’est la police fédérale américaine, à savoir le FBI qui a été mis sur le coup. Mais quelles sont les informations véritables qui circulent sur ce groupe de cybercriminels.

On retient en premier lieu que le groupe DarkSide serait, le coupable de l’attaque informatique qui a touché un des plus grands opérateurs d’oléoducs aux États-Unis à savoir Colonial Pipeline. Le nom du groupe a été porté à l’attention générale depuis l’année dernière lors d’une cigarette attaque qui a fait de gros titres.

On retient tout simplement qu’ils sont spécialisés dans les attaques de type rançongiciels. De plus, il s’attaque aussi aux moyennes et grandes entreprises. Il peut arriver dans certains cas qu’il existe des rançons qui s’élèvent à hauteur de milliers de dollars américains ou même de millions de dollars. Bien évidemment à la pratique et classique. La rançon contre la clé de déchiffrement. Bien évidemment ils volent de temps en temps les données confidentielles qu’ils peuvent monnayer de leurs victimes.

Leurs activités se localisent généralement dans les pays occidentaux. Et souvent ils n’hésitent pas à menacer de divulguer des données si les rançons ne sont pas versées.

« Nous sommes nouveaux sur le marché, mais cela ne signifie pas que nous n’avons aucune expérience et que nous venons de nulle part », avait signifié DarkSide.

À première vue, ce groupe de pirates informatiques fonctionne comme une entreprise. Il savait exactement comment opérer et comment causer le maximum de dégât.

De plus nos pirates informatiques sont claires sur leurs intentions et ne cherchent pas à atermoyer dessus. « Notre objectif est de faire de l’argent, pas créer de problèmes à la société. ».

Selon le directeur général de la société de sécurité Informatique, Cybereason : « Ils sont nouveaux mais très organisés. Par ailleurs, les pirates ont aussi le souci de transmettre leur savoir : ils proposent une formation destinée aux affiliés. Ces derniers reçoivent une boîte à outils contenant le logiciel, un modèle de courriel de demande de rançon et une formation sur la manière de mener les attaques ».

Par ailleurs, on soupçonne les pirates informatiques du groupe DarkSide d’être affiliés à la Russie. Dans un tweet, un spécialiste en sécurité informatique du nom de, Dmitri Alperovitch, par ailleurs le fondateur de la société CrowdStrike déclare : « Nous pensons qu’il opère (et peut-être est protégé) par la Russie ». Pour avancer de tel argument, le spécialiste affirme avoir observé que les logiciels malveillants du groupe de cybercriminels ne fonctionnent pas sur les ordinateurs qui fonctionnent dans des langues d’Europe de l’Est ou en russe. Cette situation a été confirmé par Brett Callow, un autre spécialiste de la cybersécurité de chez Emsisoft. « DarkSide ne s’attaque pas à la Russie. Il vérifie la langue utilisée par le système et, s’il s’agit du russe, il se ferme sans paralyser la machine ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : les systèmes informatiques Canadiens sont vulnérables

Le 7 mai dernier, le gazoduc Américain Colonial Pipeline Co a été durement touché par une attaque de type rançongiciels.

L’ampleur de l’attaque a rappelé aux autorités à quel point ce fléau est une réalité à ne pas négliger et surtout qu’il était temps de déployer suffisamment de moyens. Il est donc temps pour les autorités de se mobiliser.

« J’ai le sentiment que nous sommes gravement vulnérables, et cette attaque est un canari majeur dans la mine de charbon », a signifié Christian Leuprecht, un chercheur en sécurité et défense à l’Institut Macdonald Laurier, lors d’une entrevue à IT World Canada.

Cet article va aussi vous intéresser : Les hôpitaux Canadiens et Américains ciblés par une vague d’attaque informatiques d’ampleur

On rappelle que lors de l’attaque informatique qui a touché le pipeline américain, toutes les activités liées au gazoduc ont été immédiatement interrompues. L’objectif était bien sûr de contenir les attaques informatiques. Ce qui a drastiquement ralenti les activités en imaginant sur de long terme les conséquences.

Selon une enquête préliminaire, l’attaque a été facilité par de nombreuses mauvaises pratiques réalisé au niveau de la sécurité du pipeline. Les cybercriminels auraient donc réussi à copier près de 100 giga octet de données en seulement 2 heures. Et cela avant même de lancer officiellement l’attaque informatique.

Au regard cette situation, il semblerait que les Canadiens soient aussi vulnérables que le sont les Américains. Les vulnérabilités qui ont permis aussi des criminels de pouvoir s’infiltrer facilement dans le système informatique du pipeline américain peuvent-être répandu et présente partout. Malheureusement comme l’observe Christian Leuprecht, le gouvernement canadien n’a pas pour priorité la sécurité informatique des systèmes d’information. On peut voir cela en tout simplement observant le budget et les ressources à louer à ce secteur au niveau des infrastructures pouvant être jugées critiques du Canada.

« Dans le système fédéral, l’un des domaines où nous sommes profondément vulnérables est la coordination avec le secteur privé, mais aussi avec les gouvernements provinciaux et municipaux, explique le chercheur, qui souligne que les rançongiciels sont sans doute la menace de cybersécurité la plus prolifique qui existe aujourd’hui. Tous possèdent des éléments d’infrastructure critiques. Une bien plus grande prise de conscience est donc nécessaire au niveau politique du défi et des risques que les cyberattaques représentent pour notre sécurité, notre prospérité et notre démocratie. », explique notre expert.

Interrogé sur la question, le porte-parole du CST, (sécurité des télécommunications) déclarait en ces termes :  le Centre « se concentre chaque jour sur la fourniture de conseils et d’orientation en matière de cybersécurité aux Canadiens et aux entreprises canadiennes, y compris les partenaires des infrastructures essentielles, afin de mieux se protéger. »

« Le CST et son cyber centre continuent de surveiller régulièrement et de partager de manière proactive les informations sur les menaces avec les entreprises canadiennes, les partenaires gouvernementaux et les intervenants de l’industrie. Cela comprend un travail en collaboration avec des partenaires de l’infrastructure critique en partageant des conseils et des conseils personnalisés, y compris des informations spécifiques sur les cybermenaces. Au fur et à mesure que les tendances émergent, nous avons régulièrement des appels avec les parties prenantes de l’industrie pour nous assurer qu’elles restent au courant de l’évolution des menaces. Ces efforts de sensibilisation comprennent un bulletin sur les cybermenaces importantes et toujours actives sur les rançongiciels modernes et son évolution. Nous avons également émis des alertes cybernétiques sur diverses menaces de rançongiciels, ainsi que des publications sur la façon de prévenir. », a-t-il ajouté.

Lors de l’évaluation 2020 des menaces cybernétiques, il a été marqué que les attaques informatiques et la cybercriminalité dans son ensemble sont susceptibles de porter atteinte à l’intérêt matériel est mort des Canadiens. L’évaluation a aussi démontré que les attaques de type rançongiciels s’en prendront à toutes ‘entreprises au Canada les années à venir.

Les structures qui seront les plus touchés sont généralement celles qui touchent les secteurs essentiels. On parle notamment :

– des finances ;

– de l’alimentation ;

– de l’énergie ;

– de la santé :

– de la fabrication ;

– les infrastructures gouvernementales.

Le gouvernement canadien affirme surveiller de près l’ensemble de ces secteurs grâce à un programme spécialement dédié à la sécurité des infrastructures. Ce programme serait piloté par le ministère des richesses naturelles pour ce qui concerne le secteur de l’énergie. On rappel qu’en 2018, le programme reçois comme subvention de l’État près de 2,24 million de dollar américains deux façons supplémentaire pour un programme sur 5 années. L’idée bien sûr et de soutenir le secteur privé pour qu’il améliore leur cybersécurité et la résilience de leurs systèmes d’information.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage