Tekenen wijzen erop dat het DarkSide was, een Robin Hood-achtige hackgroep die met succes een ransomware aanval die de in Georgiรซ gevestigde koloniale pijpleiding stillegde. Er zijn tegenstrijdige berichten over hoe de incident zal een verdere impact hebben op de distributie van Amerikaanse binnenlandse olie naar de oostelijke staten en op de gasprijzen.
Particuliere bedrijven die samenwerken met Amerikaanse overheidsinstanties hebben de cloudservers afgesloten van waaruit de aanvallen op de Colonial Pipeline en twaalf andere bedrijven werden gelanceerd. Ze hebben ook de gestolen gegevens opgehaald die op weg waren naar Rusland.
De hoofdleiding is al enkele dagen gesloten. Hoewel ook de kleinere pijpleidingen getroffen waren, werden deze eerst hersteld als onderdeel van een stappenplan. De pijpleiding strekt zich uit van Texas naar het noordoosten en levert ongeveer 45% van de brandstof die door de oostkust wordt verbruikt.
De feiten
Op vrijdag 7 mei maakte de Colonial Pipeline bekend dat haar activiteiten waren stopgezet als gevolg van een ransomware-incident waarbij de hoofdpijpleiding en kleinere pijpleidingen werden afgesloten. De incidentbestrijding begon de dag ervoor, op donderdag.
Zondag waren de kleinere lijnen weer operationeel. Op het moment van schrijven is de hoofdlijn echter nog steeds niet actief. Vroeg in de week werkte president Joe Biden samen met het ministerie van Transport om de beperkingen op de openingstijden van olievrachtwagens op te heffen om de gasproducten stromend te houden. Woensdag publiceerde het Witte Huis een Uitvoeringsbesluit ter verbetering van de nationale cyberbeveiliging. De Koloniale Pijpleiding is nu volledig operationeel. maar niet voordat de in paniek geraakte consumenten benzine begonnen te hamsteren en te klagen over prijsopdrijving.
De Colonial Pipeline transporteert dagelijks ruim 2.5 miljoen vaten diesel, benzine, vliegtuigbrandstof en aardgas via pijpleidingen aan de Golfkust die een afstand van ruim 5,500 kilometer bestrijken.
Dat meldde Reuters de hackers stalen meer dan 100 GB aan gegevens en dat de FBI en andere overheidsinstanties met succes hadden samengewerkt met particuliere bedrijven om de cloudservers neer te halen die de hackers gebruikten om de gegevens te stelen. Het losgeldbedrag blijft geheim, evenals de reactie van Colonial Pipelines op de afpersingspoging.
DarkSide beweert dat het zich niet richt op scholen, ziekenhuizen, verpleeghuizen of overheidsorganisaties en dat het een deel van zijn premie aan goede doelen schenkt. De groep eist naar verluidt betaling voor een decoderingssleutel en eist steeds vaker aanvullende betaling om gestolen gegevens niet te publiceren. DarkSide verklaarde onlangs ook op haar website dat het niet geopolitiek gemotiveerd is.
Lessons Learned
Amerikaanse kritieke infrastructuur is een populair doelwit voor cyberoorlogvoering geworden. De zwakke onderbuik bestaat uit verouderde technische en industriรซle controlesystemen (ICS), die mogelijk onvoldoende fysieke en cyberbeveiliging hebben.
Het probleem is niet nieuw, maar het aantal aanvallen blijft stijgen.
Quick tips
Geen enkel bedrijf is immuun voor een ransomware-aanval.
- Begrenzing administratieve privileges.
- Beperk het gebruik van hardware en software tot geautoriseerde hardware en software. Hoewel dit misschien niet in alle organisaties mogelijk is, is het wel belangrijk voor organisaties met kritieke infrastructuur.
- Monitor systeem-, applicatie-, netwerk- en gebruikersgedrag op afwijkende activiteiten.
- Voer een grondige cyberbeveiligingsbeoordeling uit, inclusief white hat-penetratietests. Organisaties met kritieke infrastructuur moeten controleren op fysieke en cyberzwakheden.
- Versterk de zachte plekken.
- Heb een incident response plan op het gebied van bedrijfsvoering, financiรซn, juridische zaken, compliance, IT, risicobeheer en communicatie.
- Patch software zo snel mogelijk.
- Train en update het personeel cyberhygiรซne.
- Als uw bedrijf wordt aangevallen, schakel dan een bedrijf in dat hierin gespecialiseerd is forensisch onderzoek. Neem indien nodig contact op met de lokale en federale wetshandhavingsinstanties.
Bron: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline
