Plus d’une semaine après la rançongiciel dont elle a été victime le 7 mai 2021 et qui a paralysé son process de livraison des carburants via ses oléoducs qui acheminent 45 % des carburants de la côte-est des États-unis, suivi d’une crise de panique face à la pénurie, Coloniale Pipeline a annoncé un retour complet à la normale ce samedi 14 mai 2021. Mais les dessous de cette cyberattaque rocambolesque n’ont pas encore fini de livrer tous leurs secrets.
Selon des révélations de l’agence Bloomberg, Colonial Pipeline aurait finalement dû se résoudre à payer une rançon de 5 millions de dollars en bitcoins, sans parvenir à reprendre sur le coup mais lentement le contrôle de son réseau d’oléoducs. Une information confirmée par le New York Times. Le géant américain des oléoducs Colonial Pipeline avait au départ pris la décision, selon le Washington Post, de ne pas céder au chantage des cyber-rançoneurs de Darkside avant finalement de se rétracter et de sortir le cahier de chèque pour payer la rançon de 5 millions de dollars. Après le paiement de la rançon à Darkside ,ce dernier a fourni à sa victime, selon les détails révélés par Bloomberg, un décrypteur pour restaurer les dégâts causés par l’opération de rançongiciel. Mais l’outil n’a pas permis d’accélérer la reprise en main rapide de son système informatique à cause de sa lenteur de décryptage. Selon certains spécialistes en cybersecurite, la rançon versée à Darkside a plus servi à éviter une fuite de données qu’à rétablir avec célérité le système informatique de Colonial Pipeline victime de la rançongiciel.
Après que Colonial Pipeline ait payé la rançon et repris en main son système informatique qui gère le process de livraison de carburants, les spéculations vont bon train sur le sort réservé à Darkside par les autorités américaines qui avait promis par la voix du président américain Joe Biden d’agir pour « les empêcher d’opérer ». À la suite de la saisie par une coalition d’entreprises privées et d’agences gouvernementales des serveurs de transit qui ont permis de stocker les données subtilisées à Colonial Pipeline avant leur transfert dans d’autres serveurs, des informations dans le milieu de la cybersécurité distillées par Darkside lui-même font état du démantèlement par les autorités américaines de son infrastructure onshore d’opération (son blog, son serveur de paiement et son serveur DOS qui héberge ses programmes informatiques) le rendant inopérationnel.
Cependant, aucune annonce officielle des autorités fédérales américaines ne confirme cette information. Certains spécialistes estiment qu’il pourrait s’agir d’un subterfuge avec un scénario écrit d’avance et qu’il ne s’agirait ni plus ni moins que d’un « exit scam », disparaître avec tout le butin avant que les autorités américaines ne mettent en action leur menace. Pour le moment ni la maison blanche, ni le FBI n’ont fait une communication qui confirme le démantèlement de Darkside. S’il est très probable que Darkside ait perdu des serveurs qui hébergent quelques-unes de ses opérations, à la suite de la saisie et d’une mise hors service, par la coalition d’entreprises privées et d’agences gouvernementales notamment le FBI, il est toutefois peu probable que le groupe de cyber-rançoneurs ait perdu sa capacité de nuisance. Aux dernières nouvelles, Darkside a encore fait parlé de lui avec de réelles capacités de piratage, en s’enprenant vendredi 14 mai 2021 au système informatique du HSE Ireland, les services publics de santé irlandais. Une attaque qui a sérieusement paralysée le fonctionnement automatisé des services médicaux des hôpitaux irlandais, perturbant leur bon fonctionnement et obligeant les autorités sanitaires à stopper d’urgence ses installations pour éviter que le malware ne se propage à tout son système.