I segni indicano che è stato DarkSide, un gruppo di hacker simile a Robin Hood, a eseguire con successo un ransomware attacco che ha chiuso l'oleodotto coloniale con sede in Georgia. Ci sono rapporti contrastanti su come il incidente avrà un ulteriore impatto sulla distribuzione del petrolio interno statunitense agli stati orientali e sui prezzi del gas.
Le società private che lavorano con le agenzie governative statunitensi hanno chiuso i server cloud da cui sono stati lanciati gli attacchi al Colonial Pipeline e ad altre 12 società. Hanno anche recuperato i dati rubati che erano destinati alla Russia.
Il gasdotto principale è stato chiuso per diversi giorni. Sebbene anche i gasdotti più piccoli siano stati interessati, sono stati ripristinati prima come parte di un piano graduale. L'oleodotto si estende dal Texas al nord-est, fornendo circa il 45% del carburante consumato dalla costa orientale.
I fatti
Venerdì 7 maggio, il Colonial Pipeline ha annunciato che le sue operazioni erano state interrotte a seguito di un incidente ransomware che ha bloccato l'oleodotto principale e gli oleodotti più piccoli. La risposta agli incidenti è iniziata il giorno prima, giovedì.
Entro domenica, le linee minori erano di nuovo operative. Tuttavia, la linea principale rimane inattiva al momento della stesura di questo documento. All'inizio della settimana, il presidente Joe Biden ha collaborato con il Dipartimento dei trasporti per revocare le restrizioni sull'orario di trasporto del petrolio per mantenere il flusso dei prodotti del gas. Mercoledì, la Casa Bianca ha rilasciato un Ordine esecutivo sul miglioramento della sicurezza informatica nazionale. Il Colonial Pipeline è ora pienamente operativo, ma non prima che i consumatori in preda al panico iniziassero ad accumulare benzina ea lamentarsi per la riduzione dei prezzi.
Il Colonial Pipeline trasporta oltre 2.5 milioni di barili al giorno di gasolio, benzina, carburante per aerei e gas naturale attraverso i gasdotti della costa del Golfo che si estendono per oltre 5,500 miglia.
Reuters lo ha riferito gli hacker hanno rubato più di 100 GB di dati e che l'FBI e altre agenzie governative avevano collaborato con successo con società private per disattivare i server cloud utilizzati dagli hacker per rubare i dati. L'importo del riscatto rimane segreto, così come la risposta di Colonial Pipelines al tentativo di estorsione.
DarkSide afferma di non prendere di mira scuole, ospedali, case di cura o organizzazioni governative e di donare parte della sua taglia in beneficenza. Secondo quanto riferito, il gruppo richiede il pagamento di una chiave di decrittazione e richiede sempre più pagamenti aggiuntivi per non pubblicare dati rubati. DarkSide ha anche dichiarato di recente sul suo sito Web di non essere motivato geopoliticamente.
Lezioni apprese
Le infrastrutture critiche degli Stati Uniti sono diventate un popolare obiettivo della guerra informatica. Il punto debole è l'invecchiamento della tecnologia e dei sistemi di controllo industriale (ICS) che potrebbero non avere un'adeguata sicurezza fisica e informatica.
Il problema non è nuovo, ma il numero di attacchi continua a salire.
Consigli veloci
Nessuna azienda è immune da un attacco ransomware.
- Limitare privilegi amministrativi.
- Limitare l'uso di hardware e software a hardware e software autorizzati. Anche se questo potrebbe non essere possibile in tutte le organizzazioni, è importante per le organizzazioni di infrastrutture critiche.
- Monitora il sistema, l'applicazione, la rete e il comportamento degli utenti per attività anomale.
- Esegui un'approfondita valutazione della sicurezza informatica che preveda test di penetrazione white hat. Le organizzazioni di infrastrutture critiche dovrebbero verificare la presenza di debolezze fisiche e informatiche.
- Fortifica i punti deboli.
- Abbi un piano di risposta agli incidenti in atto che coinvolge operazioni, finanza, legale, conformità, IT, gestione del rischio e comunicazioni.
- Toppa software il prima possibile.
- Formare e aggiornare la forza lavoro su igiene informatica.
- Se la tua azienda viene attaccata, rivolgiti a un'azienda specializzata forense. Contattare le forze dell'ordine locali e federali, a seconda dei casi.
Fonte: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline
