Colonial Pipeline a payé à ses extorqueurs environ 75 Bitcoins, soit près de 5 millions de dollars, pour récupérer ses données volées, selon cinq personnes informées de la transaction.
Le paiement est intervenu après que des pirates informatiques aient bloqué la semaine dernière les réseaux commerciaux de Colonial Pipeline avec un ransomware, une forme de malware qui crypte les données jusqu’à ce que la victime paie, et menacé de le publier en ligne. Colonial Pipeline a arrêté de manière préventive ses opérations de pipeline pour empêcher le ransomware de se propager et parce qu’il n’avait aucun moyen de facturer ses clients avec ses réseaux commerciaux et comptables hors ligne.
La fermeture du réseau de l’entreprise, qui comprend 5500 miles de gazoduc qui fournit près de la moitié du gaz, du diesel et du carburéacteur à la côte Est, a déclenché une crise en cascade qui a conduit à des réunions d’urgence à la Maison Blanche, une hausse des prix du gaz, la panique acheter aux pompes à essence et contraint certaines compagnies aériennes à faire des escales de carburant sur les vols long-courriers.
Le paiement de la rançon était signalé pour la première fois par Bloomberg. Une porte-parole de Colonial a refusé de confirmer ou de nier que l’entreprise avait payé une rançon.
Le président Biden a également refusé de répondre si Colonial Pipeline avait payé ses extorqueurs lors d’un point de presse jeudi. Il n’a pas exclu la possibilité que l’administration cible les pirates informatiques, une équipe de ransomware appelée DarkSide, avec une frappe de représailles. Il a déclaré que les États-Unis rechercheraient «une mesure visant à perturber leur capacité à fonctionner».
Jen Psaki, l’attachée de presse de la Maison Blanche, a déclaré dans un point séparé: «C’est la recommandation du FBI de ne pas payer de rançon dans ces cas», car cela peut inciter les pirates à mener plus d’attaques. Elle a ajouté que «les entités ou entreprises du secteur privé prendront leurs propres décisions».
DarkSide a essayé de se distancer de la politique. Dans une déclaration sur son site Web, le groupe a déclaré qu’il tentait d’éviter d’être politique – un effort peut-être pour contrecarrer une frappe préventive des États-Unis, qui a mis hors ligne un important canal de ransomware l’année dernière pour empêcher une attaque contre les élections de 2020. .
Jeudi, huit sites Web associés à DarkSide ont été mis hors ligne. On ne savait pas immédiatement pourquoi. Le Cyber Command des États-Unis a renvoyé des questions au Conseil national de sécurité, qui a refusé de commenter.
Il a fallu plusieurs jours à Colonial pour commencer à remettre son pipeline en ligne, un processus qui, selon les responsables, prendrait du temps. M. Biden a encouragé les Américains à ne pas paniquer en achetant du gaz et a averti les sociétés gazières de s’abstenir de faire des abus de prix.
«Ce n’est pas comme appuyer sur un interrupteur d’éclairage», a-t-il dit, notant que le pipeline de Colonial n’avait jamais été fermé auparavant.
Colonial n’a pas partagé beaucoup de détails sur l’incident, ni sur les raisons pour lesquelles il était nécessaire de fermer le pipeline, que d’autres exploitants séquestrent de leurs activités commerciales pour des raisons de sécurité. Les experts en cybersécurité ont déclaré que l’attaque et ses retombées démontraient un manque de cyber-résilience et de planification.
Kim Zetter, journaliste en cybersécurité, signalé pour la première fois que Colonial avait fermé son pipeline en partie parce que ses systèmes de facturation avaient été mis hors ligne et qu’il n’avait aucun moyen de facturer les clients.
De nombreuses organisations à travers les États-Unis, y compris les services de police, ont choisi de payer leurs extorqueurs de ransomwares plutôt que de subir la perte de données critiques ou d’assumer les coûts de reconstruction des systèmes informatiques à partir de zéro.
Dans une attaque de ransomware distincte contre le département de la police métropolitaine de Washington, DC, des pirates ont déclaré que le prix que la police avait proposé de payer était «trop petit» et ont jeté 250 gigaoctets de données du département en ligne cette semaine, y compris des bases de données qui suivent les membres de gangs et les médias sociaux. demandes de conservation.
« C’est un indicateur de la raison pour laquelle nous devrions payer », ont déclaré les pirates, appelés Babuk, dans un message en ligne. «La police voulait également nous payer, mais le montant s’est avéré trop petit. Regardez ce mur de la honte », ont-ils écrit,« vous avez toutes les chances de ne pas y arriver. Payez-nous!
Julian E. Barnes contribution aux rapports.