Après la cyberattaque sur l’opérateur américain d’oléoducs Colonial Pipeline, d’autres organismes ont reconnu à leur tour avoir été victime du groupe d'attaquants DarkSide. Comme Toshiba TFIS, une filiale française du groupe japonais, ou encore le service public de santé irlandais, HSE Ireland. L'Usine Nouvelle répond à cinq questions clefs sur ce groupe qui attire l'attention des experts en cybersécurité.
1. Quel profil de victimes cible-t-il ?
DarkSide cible des victimes avec des moyens financiers importants, espérant ainsi leur extorquer de grosses rançons. Il s’inscrit dans la tendance du « big game hunting » (la chasse au gros gibier). Les attaques sont ainsi adaptées à l’organisation ciblée et sont préparées plusieurs mois à l’avance.
Selon le dernier rapport de l’Anssi (Agence nationale pour la sécurité des systèmes d’information) sur les rançongiciels, DarkSide fait partie des groupes de cybercriminels qui possèdent des ressources financières et des compétences techniques conséquentes pour mener à bien leurs attaques. L’opérateur de pipeline Colonial Pipeline, victime d’une cyberattaque le 7 mai, est typiquement dans ce cas. Selon le FBI, DarkSide est à l’origine de la cyberattaque.
2. Quel est le montant des rançons exigées ?
Le montant d’une rançon exigée par DarkSide peut osciller entre 200 000 et 2 millions de dollars (environ 165 000 à 1,65 million d'euros). Il n’est pas le plus gourmand en la matière. WastedLocker, un autre groupe de cybercriminels, réclame des rançons comprises entre 500 000 et 10 millions de dollars (412?150 à 8,24 millions d'euros).
DarkSide sait toutefois faire monter la pression sur ses victimes pour être payé. « Si les victimes ne répondent pas dans les deux ou trois jours, ils envoient des courriels menaçants aux employés. Si cela ne fonctionne pas, ils commencent à appeler les cadres supérieurs sur les téléphones mobiles »,souligne dans son dernier rapport le groupe américain de cybersécurité Palo Alto qui les suit à la trace depuis un an. Selon l’Anssi, le site de divulgation de données de Darkside dispose d’un accès « VIP » dédié aux entreprises de négociation pour leur permettre de bénéficier de réductions sur le montant des rançons demandées aux victimes.
Plus globalement, les rançons exigées par les groupes d’attaquants sont toujours plus fortes. Selon Palo Alto, le montant moyen des sommes versées aurait doublé en 2020, et triplé en 2021 pour atteindre 850 000 dollars (700 710 euros). « DarkSide a contribué à augmenter ces moyennes en se concentrant constamment sur les moyens d’optimiser son modèle commercial pendant la courte période d’activité », constate la société de sécurité informatique.
3. Depuis quand est-il actif ?
Malgré sa forte notoriété, Darkside est un groupe de cyberattaquants tout récent. « Nous avons rencontré le groupe pour la première fois il y a environ un an. […] Il a attiré notre attention en octobre 2020, et depuis nous trouvons ses empreintes dans un nombre d’affaires croissant », soulignent dans leur dernier rapport les limiers de la cybersécurité du groupe américain Palo Alto. Ils ajoutent qu’il n’a pas été possible pour l’instant de les associer directement avec le gouvernement russe même s’ils leur prêtent une discipline digne d’un groupe étatique.
Les développeurs de DarkSide ont assuré être d’anciens « affiliés » d’autres rançongiciels, dont ils se seraient inspirés. Ils ont donc bénéficié de l’expertise et des outils d’autres groupes cybercriminels pour mener des cyberattaques plus rapidement et à moindre coût. C’est ce qu’on appelle le modèle du Ransomware-as-a-Service (RaaS). Selon l’Anssi, ce modèle de cybercriminalité consiste à proposer, sous forme d’abonnement ou de partenariat, l’accès à son rançongiciel, ses infrastructures de paiement et de distribution ainsi qu’à un ensemble de services de back-office (support technique, interface de gestion d’implants, interface d’échange avec les victimes, etc.), le tout sous une forme « prête à l’emploi ».
Selon les experts de Thales en cybercriminalité, cette « spécialisation » des groupes d’attaquants démultiplie leur efficacité : « Chaque groupe se spécialise puis s’entraide pour bénéficier de l’expertise des autres. La spécialisation fait leur force et leur performance ; les criminels peuvent se concentrer sur un type d’attaque et bénéficier de l’expertise des autres pour pouvoir être plus performants et avoir davantage d’impact ».
4. Quel est son mode opératoire ?
Très classiquement, DarskSide procède au chiffrement des données de son client. L’extension des fichiers chiffrés est construite sur la base de l’adresse MAC des victimes. Il tente d’empêcher ses victimes de rétablir leurs données en supprimant les copies cachées (via une commande Powershell).
Pour accentuer la pression sur ses victimes, DarkSide n’hésite pas à les menacer de rendre public une partie des données confidentielles en sa possession et notamment via le canal de la presse. Et si cela ne suffit pas, il menace ses victimes de faire s’effondrer leurs serveurs Internet externes en les bombardant de requêtes massives.
5. La rançon payée, ses victimes récupèrent-elles leurs données ?
Selon les experts de Palo Alto, « DarkSide prétend même fonctionner selon un "code de conduite", cherchant à positionner le groupe comme un "partenaire" de sécurité digne de confiance ». Le groupe de cybersécurité indique que lorsque les victimes paient, DarkSide démontrera sa bonne volonté en fournissant des clés de décryptage ou en présentant des preuves qui semblent montrer que les données volées ont été supprimées. « Si on leur demande, ils diront même parfois aux victimes comment ils sont entrés afin de combler les lacunes de sécurité », observe Palo Alto.
