TIC

Technologies / Les serveurs de Darkside ont été mis hors ligne

Publié

sur

Une firme de cybersécurité annonce vendredi que le

Les serveurs de Darkside, le groupe de pirates informatiques derrière la cyberattaque ayant visé l’opérateur d’oléoducs américain Colonial Pipeline la semaine dernière, ont été mis hors ligne, affirme vendredi la firme de cybersécurité Recorded Future.

Selon cette entreprise, le hacker ayant exigé une rançon à Colonial Pipeline a admis que Darkside avait perdu l’accès à plusieurs des serveurs que le groupe utilise pour héberger son blog ou se faire payer.

Accessible via le navigateur TOR sur le dark web, la version clandestine d’Internet, le site de Darkside était inaccessible vendredi matin.

«Il y a quelques heures, nous avons perdu l’accès à la partie publique de notre infrastructure, à savoir notre blog, notre serveur de paiement et nos serveurs DoS», a écrit dans un article un pirate utilisant le pseudonyme Darksupp, cité par Recorded Future.

Les attaques par déni de service (Denial of Service ou DoS en anglais) visent à provoquer la fermeture d’un site web en le surchargeant de trafic. Darksupp a aussi indiqué que des fonds en cryptomonnaie, utilisés pour le règlement des rançons exigées par le groupe de hackers, avaient été retirés.

Aveux ou subterfuge?

Un analyste de Recorded Future estime toutefois possible que les aveux de Darskide soient un subterfuge permettant au groupe de fermer lui-même ses infrastructures pour éviter d’avoir à payer ses associés.

Selon des informations de Bloomberg, Colonial Pipeline aurait payé 5 millions de dollars aux pirates, une information qui contredit celle du «Washington Post», qui affirme que la compagnie n’a pas versé d’argent.

Interrogé par l’AFP, un porte-parole de Colonial Pipeline n’a pas fait de commentaire, indiquant seulement qu’il y avait une enquête en cours. L’administration Biden s’est aussi abstenue de commenter tout en soulignant que les compagnies devaient renforcer leur sécurité informatique.

L’attaque contre les systèmes informatiques de Colonial Pipeline, qui transporte près de la moitié des produits pétroliers américains depuis le golfe du Mexique vers la côte est des États-Unis, a forcé l’opérateur à fermer l’ensemble de ses opérations.

Cela a provoqué un mouvement de panique chez de nombreux automobilistes, craignant une pénurie d’essence et se ruant vers les stations-service. Colonial Pipeline a toutefois affirmé jeudi soir avoir relancé l’ensemble de son système et recommencé la livraison de carburants.

Une filiale française de Toshiba aussi piratée

Cette annonce intervient quelques heures après que Toshiba TFIS, une filiale française du groupe technologique japonais Toshiba spécialisée notamment dans les imprimantes, a reconnu avoir été victime début mai du rançongiciel.

Toshiba TFIS «a subi, dans la nuit du 4 mai, un acte de piratage par le ransomware Darkside ayant déjà attaqué de nombreuses entreprises de toute taille», indique l’entreprise dans une déclaration transmise à des journalistes.

Le groupe japonais avait indiqué dans un communiqué séparé que les dommages étaient contenus à une partie de l’Europe et que les pirates n’avaient pas eu accès à des données de clients.

Selon Toshiba TFIS, «les données vierges de tout virus ont pu être récupérées et la quantité de travail perdu a été très minime». «Toutes les applications sont opérationnelles», ajoute la filiale.

Celle-ci assure par ailleurs n’avoir détecté «aucune fuite de données», alors que des captures d’écran d’une revendication de Darkside annonçant une fuite de 740 gigaoctets de données circulent sur les réseaux sociaux.

«Le blocage du compte piraté a été effectué dans les dix heures qui ont suivi» l’attaque, explique l’entreprise. «Il nous semble donc peu probable que dans ce laps de temps une telle quantité de données ait pu être extraite.»

Suspecté d’être lié à la Russie

Darkside est apparu publiquement en août 2020 et s’est spécialisé dans les attaques au rançongiciel contre des entreprises, un procédé qui consiste à exploiter des failles de sécurité pour chiffrer et bloquer des systèmes informatiques, en exigeant une rançon pour les débloquer.

Le groupe, suspecté par certains experts d’être lié à la Russie, propose une plate-forme de rançonnage à des pirates informatiques «affiliés», ces pirates et le groupe se partageant ensuite la rançon.

site qui a lancé la cyberattaque contre Colonial Pipeline aux États-Unis est inaccessible.

Source : L’ensentiel.lu

Cliquez pour commenter

LES + LUS DU MOIS