Le monde de la cybercriminalité ne cesse d’évoluer, avec l’émergence de groupes de hackers toujours plus sophistiqués et audacieux. Parmi eux, Darkside s’est récemment illustré par des attaques retentissantes, comme celle contre le géant du pétrole Colonial Pipeline en mai 2021. Mais qui se cache derrière ce nom qui sème la terreur dans le cyberespace ?
Un modèle économique redoutable
Darkside opère selon un modèle dit de « ransomware as a service » (RaaS). Concrètement, le groupe développe des rançongiciels qu’il met à disposition d’autres cybercriminels, moyennant une commission sur les rançons extorquées. Cette approche permet à Darkside de démultiplier sa force de frappe en s’appuyant sur un réseau d’affiliés qui se chargent d’infiltrer les systèmes des victimes.
Le groupe, qui serait basé en Europe de l’Est, cible avec une redoutable efficacité les entreprises les plus vulnérables. Ses hackers exploitent les failles de sécurité, comme des mots de passe faibles ou des accès distants mal protégés, pour prendre le contrôle des réseaux informatiques et exfiltrer des données sensibles.
La double extorsion comme signature
La particularité de Darkside est de pratiquer la « double extorsion ». Non seulement le groupe chiffre les données de ses victimes et exige une rançon pour les déchiffrer, mais il menace aussi de les divulguer publiquement si ses demandes ne sont pas satisfaites.
Une technique particulièrement vicieuse qui met une pression maximale sur les entreprises piratées.Pour appuyer ses menaces, Darkside n’hésite pas à publier des échantillons des données volées sur son site web baptisé « Darkside Leaks ».
Le groupe y expose au grand jour les informations confidentielles des entreprises qui refusent de payer, avec à la clé un risque majeur de réputation. Un chantage d’autant plus efficace que les rançons exigées, de 200 000 à 20 millions de dollars, sont savamment calibrées en fonction du profil des victimes.
L’attaque contre Colonial Pipeline, un tournant
Si Darkside a défrayé la chronique, c’est surtout pour son attaque dévastatrice contre Colonial Pipeline en mai 2021. En paralysant ce réseau d’oléoducs qui transporte près de la moitié du carburant de la côte est des États-Unis, le groupe a provoqué une véritable psychose, avec des files d’attente interminables dans les stations-service et l’instauration de l’état d’urgence par le gouvernement américain.
Cette attaque, qui a valu à Colonial Pipeline de payer une rançon de 4,4 millions de dollars, a marqué un tournant. Sous la pression des autorités, Darkside a annoncé mettre fin à ses activités quelques jours plus tard. Mais les experts restent sceptiques et pensent que le groupe pourrait réapparaître sous une nouvelle identité. D’autant que le modèle du RaaS rend très difficile le démantèlement de telles organisations décentralisées.
Vers une intensification de la menace cyber
L’épopée de Darkside illustre la montée en puissance des groupes de ransomwares, qui représentent désormais une menace majeure pour les entreprises et les institutions du monde entier.
Selon le FBI, les rançongiciels ont coûté plus de 29 millions de dollars aux victimes américaines en 2020, un chiffre en hausse de 200% par rapport à l’année précédente.
Face à ce fléau, les entreprises doivent impérativement renforcer leur cybersécurité, en sensibilisant leurs employés aux risques, en mettant en place des sauvegardes régulières et en se dotant de solutions de protection avancées contre les ransomwares. Car une fois les données prises en otage, il est souvent trop tard. La meilleure défense reste l’anticipation face à des cybercriminels toujours plus créatifs et déterminés.