Posté le juin 9, 2021 à 15:56
70 GO DE DONNÉES ONT FAIT L’OBJET D’UNE FUITE SUITE À UNE ATTAQUE PAR RANSOMWARE CONTRE LINESTART INTEGRITY SERVICES
Un rapport récent révèle qu’une autre entreprise liée aux pipelines a été touchée par une attaque de ransomware. Cette attaque est survenue à peu près au même moment où des acteurs malveillants ont piraté les serveurs de Colonial Pipeline et perturbé ses activités.
Le rapport indique également qu’il semble que l’attaque ait touché les deux organisations en même temps, mais que l’autre entreprise axée sur les pipelines a décidé de garder la violation secrète.
Le mois dernier, un groupe qui se fait appeler l’équipe Xing a publié sur son site dark Web un fichier qui aurait été volé à LineStar Integrity Services, une entreprise qui tient des registres pour ses clients du secteur des pipelines.
LineStar Integrity Services vend à ses clients des services de maintenance, d’audit, de technologie, et de conformité.
Le fichier volé contient des données des cartes de sécurité sociale
Les données ont été découvertes en ligne par Distributed Denial of Secrets (DDoSecrets), un groupe de transparence de type Wikileaks.
Le fichier contient 73 500 courriels, contrats, fichiers comptables et autres documents commerciaux. Il contient également 10 Go de fichiers de ressources humaines et 19 Go de code et de données de logiciels. Le fichier volé contient également des données de cartes de sécurité sociale et des scans de permis de conduire d’employés.
La violation ne semble pas avoir provoqué de perturbation de l’infrastructure comme celle observée lors de l’attaque du Colonial Pipeline. Toutefois, les chercheurs ont averti que les données volées pourraient être utilisées par les hackers pour lancer d’autres attaques sur des pipelines à l’avenir.
DDoSecrets a récemment publié 37 gigaoctets de ces données sur son site de fuites de données, lundi. Le groupe a également déclaré qu’il avait pris soin de ne pas expurger le code et les données sensibles des logiciels. Selon DDoSecrets, cela pourrait donner à d’autres hackers l’indice pour exploiter les failles des logiciels de pipeline. Toutefois, si les fichiers non expurgés ont été examinés, ils restent en ligne.
Augmentation des attaques par ransomware aux États-Unis
Ces derniers mois, les acteurs malveillants ont intensifié leurs efforts pour attaquer les organisations. Mais ce qui est plus inquiétant, c’est leur volonté de lancer des attaques contre des entreprises fournissant des ressources vitales aux États-Unis.
À la suite d’une telle attaque, le gouvernement américain a réagi en mettant en place un comité qui surveillera l’utilisation des cryptomonnaies comme moyen de paiement des hackers. D’autres agences américaines se sont également lancées dans le piratage pour récupérer les cryptomonnaies initialement payées aux hackers comme rançon. À l’heure actuelle, il semble que les États-Unis connaissent une épidémie de piratage, qui peut avoir un impact considérable sur leur économie.
Le contenu divulgué peut être utilisé pour d’autres attaques
Joe Slowik, chercheur en renseignement sur les menaces pour la société de sécurité Gigamon, a commenté la dernière découverte de données. Il a déclaré que, bien que le type d’informations sensibles contenues dans les données divulguées ne soit pas clair, il pourrait y avoir des détails sur l’équipement physique ou l’infrastructure logicielle utilisés par les clients de LineStar Services. Il s’agit également de la société de pipelines touchée par la violation.
M. Slowik a également déclaré que n’importe quel acteur malveillant peut utiliser les données pour d’autres cibles. Il a ajouté que le plus inquiétant est le fait que les données volées ne contiennent pas seulement les détails du permis de conduire ou d’autres informations sur les clients. Elles contiennent également les données opérationnelles des entreprises ainsi que leurs fonctionnalités les plus critiques.
L’équipe Xing ne semble pas être très connue dans l’écosystème des ransomwares. Cependant, on considère qu’il s’agit d’un groupe de pirates chinois, mais rien ne permet encore d’affirmer qu’il est originaire de Chine.
Brett Callow, chercheur en ransomware de la société de sécurité Emsisoft, a également déclaré qu’il n’est pas clair si le groupe est basé en Chine ou non.
Il a également noté que les acteurs malveillants ont utilisé une version remaniée de Mount Locker pour accéder aux fichiers de la victime.
Le chercheur a également déclaré que les acteurs de la menace qui volent des détails vitaux d’une entreprise peuvent mettre en place un e-mail de spearphishing qui peut se connecter à une autre entreprise.
La cofondatrice de DodSecret, Emma Best, a déclaré que la republication des données ayant fait l’objet d’une fuite lors d’une attaque contre une entreprise peut donner plus d’informations sur les scandales environnementaux de cette dernière.
Par exemple, l’attaque par ransomware contre Colonial Pipeline s’est produite moins d’un an après la révélation de ses antécédents de fuites de 1,2 million de gallons d’essence dans une réserve naturelle de Caroline du Nord.