Znaki wskazują na fakt, że to DarkSide, podobna do Robin Hooda grupa hakerska, z powodzeniem dokonała egzekucji ransomware atak, który zamknął rurociąg kolonialny w Gruzji. Istnieją sprzeczne raporty o tym, jak incydent wpłynie dodatkowo na dystrybucję krajowej ropy z USA do wschodnich stanów i ceny gazu.
Prywatne firmy współpracujące z amerykańskimi agencjami rządowymi wyłączają serwery w chmurze, z których rozpoczęto ataki na Colonial Pipeline i 12 innych firm. Odzyskali również skradzione dane, które były przeznaczone dla Rosji.
Główny rurociąg został zamknięty od kilku dni. Chociaż mniejsze rurociągi również ucierpiały, zostały one najpierw przywrócone w ramach planu etapowego. Rurociąg rozciąga się od Teksasu na północny wschód, dostarczając około 45% paliwa zużywanego na wschodnim wybrzeżu.
Fakty
W piątek 7 maja Colonial Pipeline ogłosił, że jego działalność została wstrzymana w wyniku incydentu oprogramowania ransomware, które spowodowało zamknięcie głównego i mniejszych rurociągów. Reakcja na incydent rozpoczęła się dzień wcześniej, w czwartek.
W niedzielę mniejsze linie znów działały. Jednak główna linia pozostaje na niskim poziomie w momencie pisania tego tekstu. Na początku tygodnia prezydent Joe Biden współpracował z Departamentem Transportu w celu zniesienia ograniczeń godzinowych dla ciężarówek z ropą, aby utrzymać przepływ produktów gazowych. W środę Biały Dom wydał plik Rozporządzenie wykonawcze w sprawie poprawy bezpieczeństwa cybernetycznego kraju. Rurociąg kolonialny jest teraz w pełni operacyjny, ale dopiero wtedy ogarnięci paniką konsumenci zaczęli gromadzić paliwo i narzekać na zawyżanie cen.
Colonial Pipeline transportuje dziennie ponad 2.5 miliona baryłek oleju napędowego, benzyny, paliwa lotniczego i gazu ziemnego rurociągami Gulf Coast o długości ponad 5,500 mil.
Reuters zgłosił to hakerzy ukradli ponad 100 GB danych oraz że FBI i inne agencje rządowe z powodzeniem współpracowały z prywatnymi firmami w celu usunięcia serwerów w chmurze, których hakerzy używali do kradzieży danych. Kwota okupu pozostaje nieujawniona, podobnie jak reakcja Colonial Pipelines na próbę wymuszenia.
DarkSide twierdzi, że nie jest skierowany do szkół, szpitali, domów opieki ani organizacji rządowych i przekazuje część swojej nagrody na cele charytatywne. Grupa podobno żąda zapłaty za klucz deszyfrujący i coraz częściej domaga się dodatkowej opłaty za niepublikowanie skradzionych danych. DarkSide oświadczył niedawno na swojej stronie internetowej, że nie ma motywacji geopolitycznej.
Atak Colonial Pipeline został uznany za „najgorszy jak dotąd atak na infrastrukturę krytyczną”.
Lessons Learned
Infrastruktura krytyczna w USA stała się popularnym celem cyberwojny. Słabe podbrzusze to starzejące się technologie i systemy kontroli przemysłowej (ICS), którym może brakować odpowiedniego bezpieczeństwa fizycznego i cybernetycznego.
Problem nie jest nowy, ale liczba ataków nadal rośnie.
Szybkie porady
Żadna firma nie jest odporna na atak ransomware.
- Limit uprawnienia administracyjne.
- Ogranicz używanie sprzętu i oprogramowania do autoryzowanego sprzętu i oprogramowania. Chociaż może to nie być możliwe we wszystkich organizacjach, jest to ważne dla organizacji zajmujących się infrastrukturą krytyczną.
- Monitoruj system, aplikację, sieć i zachowanie użytkowników pod kątem nietypowych działań.
- Przeprowadź dokładną ocenę cyberbezpieczeństwa, która obejmuje testy penetracyjne w białym kapeluszu. Organizacje zajmujące się infrastrukturą krytyczną powinny sprawdzać słabości fizyczne i cybernetyczne.
- Wzmocnij miękkie miejsca.
- mieć plan reagowania na incydenty w miejscu, które obejmuje operacje, finanse, prawo, zgodność, IT, zarządzanie ryzykiem i komunikację.
- Łata oprogramowanie tak szybko, jak to możliwe.
- Przeszkolić i zaktualizować pracowników cyber higiena.
- Jeśli Twoja firma zostanie zaatakowana, zaangażuj firmę, w której się specjalizuje kryminalistyki. W razie potrzeby skontaktuj się z lokalnymi i federalnymi organami ścigania.
Źródło: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline
