A la suite de la cyberattaque contre Colonial Pipeline, principal opérateur américain d’oléoducs, par le groupe Darkside, Solutions Numériques a demandé à Vincent Dély, Director Technical Sales Engineering de Nozomi Networks, un spécialiste de la cybersécurité OT et IoT, comment les entreprises pouvaient s’en protéger. Ses explications.
La récente cyberattaque qui a touché Colonial Pipeline, principal opérateur américain d’oléoducs, est une nouvelle preuve de la menace que font peser les ransomwares sur la sécurité d’un pays. Auteur de cette attaque, DarkSide est l’exemple parfait d’une nouvelle génération d’opérateurs de Ransomware-as-a-Service (RaaS) qui, avec peu de considération pour la sécurité publique ou la crainte de poursuites judiciaires, intensifient, commercialisent et vendent leurs capacités à une armée de criminels (novices ou experts) qui opèrent ces attaques en toute insouciance.
La menace
DarkSide est un ramsomware qui sévit depuis l’été dernier avec des techniques très furtives qui échappent facilement à la détection, et des demandes de rançons élevées, comprises entre 200 000 et 2 millions de dollars. Le réseau semble être basé en Russie ou en Europe de l’Est, d’où il est plus facile d’éviter de se faire repérer et d’être poursuivi, et utilise des outils avancés conçus sur mesure.
DarkSide est l’illustration parfaite du Ransomware as-a-Service (RaaS), une pratique grandissante depuis quelques années, qui contribue à décupler les risques qui pèsent sur les entreprises, puisque le RaaS permet aux cybercriminels de mettre leurs ransomwares à disposition de n’importe qui, sans limite, sur un modèle flexible copié sur celui du SaaS. Les butins obtenus sont ensuite partagés entre les parties-prenantes, à savoir les opérateurs et les pirates qui ont effectivement procédé à l’attaque.
Comment se défendre contre DarkSide ?
Si DarkSide a pour ambition de viser plus particulièrement les grandes entreprises, aucune d’entre elles n’est vraiment à l’abri de ce type d’attaque. Plusieurs bonnes pratiques sont à mettre en place, à commencer par l’amélioration des capacités de détection grâce à une visibilité totale de son environnement, une compréhension des composants qui s’y trouvent et une gestion des vulnérabilités par l’application de correctifs ou grâce à la segmentation du réseau. La surveillance des modifications de configuration des systèmes et l’analyse en continu du trafic réseau pour détecter les comportements anormaux ou les signaux faibles sont essentiels à l’identification d’attaques aussi discrètes. Plus la cible est renforcée et protégée, plus les opérateurs de ransomware se décourageront et cibleront des environnements plus faciles à attaquer.
Une autre recommandation pour augmenter la résilience face aux attaques par ransomware est de s’assurer que les systèmes ICS sont entièrement surveillés, sauvegardés et isolables. Parfois, lorsqu’une attaque frappe, il suffit de désolidariser les éléments critiques de l’infrastructure pour contenir la diffusion de la menace et éviter qu’elle se répande. Pour mettre en œuvre un tel plan d’action, il faut identifier au préalable les systèmes opérationnels critiques qu’il est possible d’isoler sans risquer un accident ou des arrêts inutiles. Dans certains cas, les systèmes ICS peuvent continuer à fonctionner alors que les systèmes informatiques sont récupérés. Il est également indispensable de collecter des informations détaillées sur l’endroit où l’attaque s’est produite, les mouvements latéraux des attaquants, les méthodes qu’ils ont utilisées pour garantir la persistance. Toutes ces informations peuvent être très utiles pour assurer la récupération du système et éviter la reprise de l’attaque. Savoir quand arrêter une usine ou être capable de maintenir sa production pendant que les efforts de récupération sont en cours peut limiter l’impact d’une infection par ransomware.
Enfin, faire évoluer la culture de cybersécurité de l’entreprise vers une mentalité post-piratage peut avoir un impact positif considérable. Cela renforce la cyber-résilience et peut limiter l’impact d’une infection. S’il est important de poursuivre les efforts pour prévenir les violations, il faut à un moment donné se demander : « Nous avons été victimes d’une attaque… et maintenant ? ». La planification des défaillances des systèmes critiques permet aux opérateurs de comprendre ce qu’il faut faire pour maintenir les opérations, en toute sécurité.
