Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyberattaque Pipeline US : Qui se cache derrière DarkSide ? Quels précédents, méthodes et objectifs ? Unit42/Palo Alto Networks

mai 2021 par Unit42/Palo Alto Networks

L’Unit42, unité de recherche de Palo Alto Networks s’est penché sur le groupe de pirates DarkSide suite à leur attaque par ransomware ciblant le plus grand oléoduc et une infrastructure d’importance vitale aux Etats-Unis.

Quels précédents ? Quelle méthode d’attaque et objectifs ? Retrouvez ici les détails de leur recherche et analyse de DarkSide.

Il a fallu une attaque contre le plus grand oléoduc américain et la possibilité de perturber l’approvisionnement en carburant d’une grande partie du pays pour montrer au monde que les attaquants de ransomwares ne vont pas se reposer sur leurs lauriers après avoir déjà pris pour cibles les administrations, les groupes scolaires et hospitaliers pour ne citer que ces exemples.

DarkSide est devenu l’un des groupes de piratage les plus connus au monde après que le FBI ait confirmé qu’il était responsable de cette attaque très médiatisée. Lorsqu’un groupe de cybercriminels peut agir à l’autre bout du monde et, en quelques actions, menacer l’approvisionnement en carburant sur toute la côte est des États-Unis, tout le monde comprend que personne n’est à l’abri de ce type de cyber actes malveillants.

L’impact de cette attaque est le reflet du fait que les opérateurs de ransomware sont toujours en mouvement - améliorant, automatisant et devenant plus efficaces pour cibler des organisations de plus en plus grandes. Et ils reçoivent beaucoup plus d’argent pour leurs efforts. La cyber-rançon moyenne payée a plus que doublé en 2020 - à 312493 $ - par rapport à 2019, selon le rapport 2021 de l’Unit42 sur les Ransomwares. Jusqu’à présent, en 2021, le paiement moyen a presque triplé par rapport à l’année précédente - pour atteindre environ 850000 $.

DarkSide a contribué à augmenter ces moyennes en se concentrant constamment sur les moyens d’optimiser son modèle commercial pendant la courte période d’activité (nous avons rencontré le groupe pour la première fois il y a environ un an). Comme d’autres groupes de pirates et ransomwares de premier plan, DarkSide a récemment adopté le modèle Ransomware-as-a-Service (RaaS). Il a externalisé le développement de code, l’infrastructure et les opérations et s’est tourné vers le dark web pour recruter de nouveaux employés. En conséquence, le groupe peut désormais mieux se concentrer sur la connaissance des victimes et le ciblage des types de données les plus précieux dans chaque organization ciblée, afin de pouvoir extraire la plus grande rançon possible et augmenter le retour sur investissement de ses activités criminelles.

Le groupe a commencé à attirer l’attention des experts de l’Unité 42 en octobre 2020. Depuis, les chercheurs de l’Unit42 ont retrouvé son « empreinte » dans un nombre croissant de cas. Ce qui distingue DarkSide, c’est que le groupe a fait preuve d’une discipline que l’on ne voit uniquement que pour des acteurs malveillants à l’encontre des États-nations. Cela dit, les chercheurs ont noté que DarkSide était probablement un réseau criminel qui exerce en dehors de la Russie ; personne n’a encore relié cela directement au gouvernement russe.

Il est intéressant de noter qu’en novembre, une société de négociation de ransomware a placé DarkSide sur une liste restreinte interne après avoir annoncé son intention d’héberger une infrastructure en Iran - parce que l’Iran est sous sanctions américaines, faciliter les paiements à cet endroit pourrait aller à l’encontre du droit.

Où qu’ils soient, il y a des indications que les attaquants de DarkSide sont très expérimentés et accomplis dans le montage d’attaques par ransomwares. Ils opèrent clairement dans l’écosystème des ransomwares que l’on dirait « haut de gamme », se concentrant sur un plus petit bassin de victimes à qui ils peuvent extraire des rançons importantes.




Voir les articles précédents

    

Voir les articles suivants