Merkit viittaavat siihen, että DarkSide, Robin Hoodin kaltainen hakkerointiryhmä, suoritti onnistuneesti ransomware hyökkäys, joka sammuttaa Georgiassa sijaitsevan Colonial Pipeline. On ristiriitaisia raportteja siitä, miten tapaus vaikuttaa edelleen Yhdysvaltain kotimaisen öljyn jakautumiseen itäisiin osavaltioihin ja kaasun hintoihin.
Yhdysvaltain valtion virastojen kanssa työskentelevät yksityiset yritykset sammuttivat pilvipalvelimet, joista hyökkäykset siirtomaajohtoa ja 12 muuta yritystä vastaan aloitettiin. He hakivat myös varastetut tiedot, jotka suuntautuivat Venäjälle.
Pääputki on ollut suljettuna useita päiviä. Vaikka vaikutukset koskivat myös pienempiä putkistoja, ne kunnostettiin ensin osana vaiheittaista suunnitelmaa. Putkilinja ulottuu Texasista koilliseen ja tuottaa noin 45% itärannikon kuluttamasta polttoaineesta.
Faktat
Perjantaina 7. toukokuuta Colonial Pipeline ilmoitti toimintansa keskeytyneen lunnasohjelmatapahtuman seurauksena, joka sulkee pääputken ja pienemmät putkistot. Tapahtumien vastaaminen alkoi edellisenä päivänä, torstaina.
Sunnuntaihin pienemmät linjat olivat taas toiminnassa. Kuitenkin päälinja pysyy alhaalla tämän kirjoituksen aikana. Viikon alussa presidentti Joe Biden työskenteli liikenneministeriön kanssa öljykuljetusten tuntirajoitusten poistamiseksi pitääkseen kaasutuotteet virtaavana. Keskiviikkona Valkoinen talo julkaisi Täytäntöönpanomääräys kansallisen kyberturvallisuuden parantamisesta. Siirtomaajohto on nyt täysin toimintavalmis, mutta ei ennen kuin paniikkia kärsineet kuluttajat alkoivat kasata kaasua ja valittaa hintojen poistamisesta.
Siirtomaajohto kuljettaa yli 2.5 miljoonaa tynnyriä päivässä dieseliä, bensiiniä, lentopetrolia ja maakaasua yli 5,500 mailin pituisten Persianlahden rannikon putkistojen kautta.
Reuters kertoi sen hakkerit varastivat yli 100 Gt tietoa ja että FBI ja muut valtion virastot olivat onnistuneesti tehneet yhteistyötä yksityisten yritysten kanssa poistaakseen pilvipalvelimet, joita hakkerit käyttivät tietojen varastamiseen. Lunnaiden määrä on edelleen julkistamaton, samoin kuin Colonial Pipelinesin vastaus kiristysyritykseen.
DarkSide väittää, ettei se kohdistu kouluihin, sairaaloihin, hoitokodeihin tai valtion järjestöihin ja että se lahjoittaa osan palkkiostaan hyväntekeväisyyteen. Ryhmän vaaditaan maksavan salauksenavaimen maksu ja vaaditaan yhä enemmän lisämaksua varastamattomien tietojen julkaisemisesta. DarkSide ilmoitti myös äskettäin verkkosivustollaan, ettei se ole geopoliittisesti motivoitunut.
Lessons Learned
Yhdysvaltain kriittisestä infrastruktuurista on tullut suosittu kybertaistelutavoite. Heikko vatsan alaosa on ollut ikääntyviä tekniikan ja teollisuuden ohjausjärjestelmiä (ICS), joista saattaa puuttua riittävä fyysinen ja kyberturvallisuus.
Ongelma ei ole uusi, mutta iskujen määrä kasvaa edelleen.
Pikavihjeitä
Mikään yritys ei ole immuuni ransomware-hyökkäykseltä.
- Raja hallinnolliset oikeudet.
- Rajoita laitteiston ja ohjelmistojen käyttö valtuutettuihin laitteistoihin ja ohjelmistoihin. Vaikka tämä ei välttämättä ole mahdollista kaikissa organisaatioissa, se on tärkeää elintärkeiden infrastruktuurien organisaatioille.
- Seuraa järjestelmän, sovelluksen, verkon ja käyttäjien käyttäytymistä poikkeavan toiminnan varalta.
- Suorita perusteellinen kyberturvallisuusarviointi, johon sisältyy valkoisen hatun tunkeutumistesti. Kriittisen infrastruktuurin organisaatioiden tulisi tarkistaa fyysiset ja kyberheikkoudet.
- Vahvista pehmeät kohdat.
- on tapahtumien torjuntasuunnitelma toimintaan, rahoitukseen, lakiin, vaatimusten noudattamiseen, tietotekniikkaan, riskienhallintaan ja viestintään
- läikkä ohjelmisto mahdollisimman pian.
- Kouluta ja päivitä työvoimaa verkkohygienia.
- Jos yrityksesi hyökätään, ota yhteyttä erikoistuneeseen yritykseen forensics. Ota tarvittaessa yhteyttä paikallisiin ja liittovaltion lainvalvontaviranomaisiin.
Lähde: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline
