Les États-Unis montent le ton sur le ransomware

Chaque fois qu'une entreprise est victime d'une attaque par ransomware, on assiste à un véritable drame. Jusqu'à présent, la plupart se sont terminés par l'un des trois  scénarios suivants : soit l'entreprise a ignoré la demande de rançon et a dit adieu à ses données, soit elle a payé la rançon, soit elle a pu restaurer les données chiffrées.

L'attaque par ransomware contre Colonial Pipeline, qui a paralysé la distribution de carburant, est venue animer un secteur d'activité qui s'apprêtait à tomber dans l'indifférence générale. En effet, il semblerait que le gouvernement américain ait enfin décidé de se retrousser les manches pour lutter contre le fléau des ransomwares. Le groupe de pirates informatiques connu sous le nom de DarkSide, soupçonné d'avoir contribué à l'attaque contre Colonial Pipeline ou d'en avoir été l'instigateur, a annoncé qu'il mettait fin à ses activités en raison de pressions indéterminées de la part du gouvernement américain.

Une déclaration attribuée aux gestionnaires d'une plateforme soi-disant exploitée par DarkSide révèle que la partie publique de son système en ligne, dont son blog et son serveur de paiement, a déjà été fermée et que des fonds ont été transférés sur un compte inconnu. On y apprend également que la page Web principale du groupe et d'autres ressources accessibles au public seront elles aussi mises hors ligne. D'après les informations dont nous disposons, Colonial Pipeline aurait versé 5 millions de dollars en bitcoin pour récupérer l'accès aux systèmes qui gèrent ses pipelines. On ignore cependant si DarkSide est toujours en possession de ces fonds ou s'ils ont été transférés à une autre entité. La semaine dernière, le gouvernement Biden a déclaré qu'il n'excluait pas d'exercer des représailles contre DarkSide, mais s'est abstenu de tout autre commentaire. Les dirigeants de Colonial Pipeline sont également restés muets sur le sujet.

Naturellement, certains estiment que tout ceci n'est qu'une ruse et que DarkSide se reconstituera simplement sous une autre forme. Entre-temps, les cybercriminels « affiliés » à DarkSide ont perdu l'accès à une partie des outils qu'ils utilisent pour lancer leurs attaques. Malheureusement, de nombreuses solutions de rechange continuent de proposer ces outils. Reste donc à savoir si le gouvernement Biden saura intensifier ses pressions pour les neutraliser à leur tour.

Quel que soit le résultat final, la cybercommunauté peut se consoler en constatant que les agences gouvernementales sont parvenues à mettre un terme aux opérations d'un groupe de cybercriminels en seulement quelques jours. Bien qu'il n'y ait eu aucune arrestation à ce jour, les gestionnaires des groupes rivaux se demandent sans doute ce que l'avenir leur réserve. Certains pourraient même s'inspirer du sort de DarkSide et se retirer discrètement en espérant que les agences gouvernementales finiront par renoncer à toute poursuite.

En attendant, ces agences travaillent de toute évidence à l'élaboration d'une sorte de nouveau manuel de cybersécurité autour des capacités de l'U.S. Cyber Command plutôt que simplement du savoir-faire du FBI en matière d'enquête. Ce mode d'emploi devrait inclure des outils destinés à démanteler les sites malveillants qui permettent aux cybercriminels de lancer davantage d'attaques qu'ils ne pourraient le faire s'ils devaient les développer eux-mêmes. Bien que les ransomwares et autres formes de malwares ne sont pas près de disparaître, on entrevoit enfin l'espoir d'endiguer leur prolifération pour de bon.