Un ransomware a frappé une autre entreprise de pipelines et 70 Go de données ont été divulgués

Quand les pirates du ransomware ont frappé Colonial Pipeline le mois dernier et couper la distribution de gaz le long de une grande partie de la côte est des États-Unisle monde a pris conscience du risque de perturbation numérique dans le secteur des pipelines pétrochimiques. Il semble maintenant qu’une autre entreprise spécialisée dans les pipelines ait également été touchée par un ransomware à peu près au même moment, mais qu’elle ait gardé le silence, même si 70 gigaoctets de ses fichiers internes ont été volés et déversés sur le dark web.

Le mois dernier, un groupe se présentant sous le nom de Xing Team a mis en ligne sur son site Web obscur une collection de fichiers volés à LineStar Integrity Services, une société basée à Houston qui vend des services d’audit, de conformité, de maintenance et de technologie à des clients du secteur des pipelines. Les données, repérées en ligne pour la première fois par le Groupe de transparence de type WikiLeaks Distributed Denial of Secrets (DDS)ou DDoSecrets, comprend 73 500 courriels, des fichiers comptables, des contrats et d’autres documents commerciaux, environ 19 Go de code et de données de logiciels, et 10 Go de fichiers de ressources humaines comprenant des numérisations de permis de conduire et de cartes de sécurité sociale d’employés. Et bien que la violation ne semble pas avoir causé de perturbation de l’infrastructure comme l’incident de Colonial Pipeline, les chercheurs en sécurité avertissent que les données divulguées pourraient fournir aux pirates une feuille de route pour cibler d’autres pipelines. LineStar n’a pas répondu aux demandes de commentaires.

DDoSecrets, qui fait une pratique de d’éplucher les données divulguées par les groupes de ransomware. dans le cadre de sa mission visant à exposer les données qu’il juge dignes d’être examinées par le public, a publié 37 gigaoctets de données de l’entreprise sur son site de fuite lundi. Le groupe affirme avoir pris soin d’expurger les données et le code potentiellement sensibles des logiciels – qui, selon DDoSecrets, pourraient permettre à d’autres pirates de trouver ou d’exploiter des vulnérabilités dans les logiciels de pipelines – ainsi que les documents relatifs aux ressources humaines, dans le but de ne pas divulguer les informations sensibles et personnellement identifiables des employés de LineStar.

Mais les fichiers non expurgés, que WIRED a examinés, restent en ligne. Et ils peuvent contenir des informations qui pourraient permettre de cibler d’autres pipelines, affirme Joe Slowik, chercheur en renseignements sur les menaces pour la société de sécurité Gigamon, qui s’est concentré sur la sécurité des infrastructures critiques pendant des années en tant qu’ancien responsable de la réponse aux incidents au Los Alamos National Labs. Bien que M. Slowik note qu’on ne sait toujours pas quelles informations sensibles pourraient être incluses dans les 70 Go de la fuite, il craint qu’il ne s’agisse d’informations sur l’architecture logicielle ou les équipements physiques utilisés par les clients de LineStar, étant donné que cette dernière fournit des logiciels de technologie de l’information et de systèmes de contrôle industriel aux clients des pipelines.

« Vous pouvez utiliser cela pour remplir beaucoup de données de ciblage, en fonction de ce qu’il y a dedans », dit Slowik. « C’est très inquiétant, étant donné la possibilité qu’il ne s’agisse pas seulement des informations du permis de conduire des gens ou d’autres éléments liés aux ressources humaines, mais potentiellement de données liées au fonctionnement de ces réseaux et à leur fonctionnalité plus critique. »

Xing Team est un entrant relativement récent dans l’écosystème des ransomwares. Mais si le groupe écrit son nom avec un caractère chinois sur son site dark web – et vient du mot mandarin pour « étoile » – il y a peu de raisons de croire que le groupe est chinois sur la base de ce seul nom, dit Brett Callow, un chercheur axé sur les ransomwares avec la société antivirus Emsisoft. M. Callow dit avoir vu Xing Team utiliser la version rebaptisée du logiciel malveillant Mount Locker pour crypter les fichiers des victimes et menacer de divulguer les données non cryptées afin d’inciter les cibles à payer. Dans le cas de LineStar, Xing Team semble avoir mis cette menace à exécution.

Cette fuite pourrait à son tour servir de tremplin à d’autres pirates de ransomware, qui passent fréquemment en revue les décharges de données du dark web à la recherche d’informations pouvant être utilisées pour se faire passer pour des entreprises et cibler leurs clients. « Si vous volez les données d’une société de pipelines, cela pourrait vous permettre de construire un e-mail de spearphishing assez conventionnel destiné à une autre société de pipelines », explique M. Callow. « Nous savons absolument que des groupes font cela ».