Le PDG de Colonial Pipeline témoigne sur les premières heures d’attaque par ransomware

Image montrant l’installation de la station Colonial Pipeline Houston à Pasadena, au Texas (à l’est de Houston), prise le 10 mai 2021.

François Picard | AFP | Getty Images

WASHINGTON – Le président et chef de la direction de la Colonial Pipeline Company rendra compte mardi des premières heures après une attaque de ransomware contre son entreprise le 7 mai qui a paralysé la livraison de gaz de haut en bas de la côte est.

Joseph Blount, Jr. dira aux membres du comité sénatorial de la sécurité intérieure et des affaires gouvernementales que la société a appris l’attaque pour la première fois peu avant 5 heures du matin le vendredi 7 mai, lorsqu’un employé a découvert une demande de rançon sur un système informatique. réseau.

L’entreprise avait été attaquée par un programme de ransomware créé par DarkSide, un groupe de cybercriminels qui opérerait depuis la Russie. La note demandait environ 5 millions de dollars pour déverrouiller les fichiers de l’entreprise.

Peu de temps après avoir découvert la demande de rançon, Blount dira aux sénateurs, l’employé de Colonial Pipeline a informé un superviseur, et la décision a été prise d’arrêter immédiatement l’ensemble du pipeline.

« Vers 5 h 55, les employés ont commencé le processus de fermeture », dira Blount, selon son témoignage préparé. « À 6 h 10, ils ont confirmé que les 5 500 milles de pipelines avaient été fermés. »

La décision de fermer l’ensemble du pipeline a été motivée par « l’impératif d’isoler et de contenir l’attaque pour garantir que le malware ne se propage pas au réseau Operational Technology, qui contrôle nos opérations de pipeline, si ce n’était déjà fait », dira Blount. .

La fermeture a causé des perturbations majeures dans la livraison de gaz le long de la côte est, alors que les camions avaient du mal à réapprovisionner les stations-service et que de longues files d’attente se développaient aux pompes.

Le témoignage de Blount révèle pour la première fois à quelle vitesse l’entreprise a décidé de suspendre ses opérations, et il a fourni de nouveaux détails sur les premiers jours après l’attaque.

La société pense que les attaquants « ont exploité un ancien profil de réseau privé virtuel qui n’était pas destiné à être utilisé », mais a ajouté qu’ils « tentent toujours de déterminer comment les attaquants ont obtenu les informations d’identification nécessaires pour l’exploiter ».

Blount témoignera sur la rançon d’environ 5 millions de dollars que la société a versée aux pirates informatiques de DarkSide.

« J’ai pris la décision que Colonial Pipeline paierait la rançon pour avoir tous les outils à notre disposition pour remettre rapidement le pipeline en service », dira-t-il. « Ce fut l’une des décisions les plus difficiles que j’ai eu à prendre dans ma vie. »

« À l’époque, j’ai gardé cette information de près parce que nous étions préoccupés par la sécurité opérationnelle et la minimisation de la publicité pour l’acteur menaçant », dira Blount.

« Nous avons pris des mesures avant d’effectuer le paiement de la rançon pour suivre les directives réglementaires et nous avons expliqué notre manière de traiter avec les attaquants aux forces de l’ordre », expliquera-t-il, sans détailler quelles étaient ces « étapes ».

La veille du témoignage de Blount, les forces de l’ordre américaines ont annoncé qu’elles étaient en mesure de récupérer 2,3 millions de dollars en bitcoins auprès du groupe de pirates.

Blount dira également aux sénateurs que la société a contacté le FBI quelques heures après avoir découvert l’attaque.

Ceci est une nouvelle en développement, veuillez vérifier les mises à jour.

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.

Comments