Признаки указывают на то, что именно DarkSide, хакерская группа, похожая на Робин Гуда, успешно осуществила вымогателей атака, которая остановила колониальный трубопровод в Джорджии. Есть противоречивые сообщения о том, как инцидент в дальнейшем повлияет на распределение внутренней нефти США в восточные штаты и цены на газ.
Частные компании, работающие с правительственными агентствами США, отключили облачные серверы, с которых были запущены атаки на Colonial Pipeline и 12 других компаний. Они также получили украденные данные, которые предназначались для России.
Магистральный трубопровод закрыт на несколько дней. Хотя пострадали и более мелкие трубопроводы, они были восстановлены в первую очередь в рамках поэтапного плана. Трубопровод тянется от Техаса на северо-восток, доставляя около 45% топлива, потребляемого восточным побережьем..
Факты
В пятницу, 7 мая, Colonial Pipeline объявила, что ее работа была остановлена в результате инцидента с программой-вымогателем, в результате которого был остановлен основной трубопровод и более мелкие трубопроводы. Реагирование на инцидент началось накануне, в четверг.
К воскресенью более мелкие линии снова заработали. Однако на момент написания этой статьи основная линия не работает. В начале недели президент Джо Байден работал с Министерством транспорта над снятием ограничений по часам транспортировки нефти, чтобы обеспечить непрерывный поток газовых продуктов. В среду Белый дом выпустил Указ о повышении национальной кибербезопасности. Колониальный трубопровод теперь полностью функционирует, но не раньше, чем охваченные паникой потребители начали копить газ и жаловаться на завышение цен.
Колониальный трубопровод транспортирует более 2.5 миллионов баррелей дизельного топлива, бензина, реактивного топлива и природного газа в день по трубопроводам на побережье Мексиканского залива, протяженностью более 5,500 XNUMX миль.
Reuters сообщило, что хакеры украли более 100 ГБ данных и что ФБР и другие правительственные агентства успешно сотрудничали с частными компаниями, чтобы отключить облачные серверы, которые хакеры использовали для кражи данных. Сумма выкупа остается нераскрытой, как и реакция Colonial Pipelines на попытку вымогательства.
DarkSide утверждает, что не нацелен на школы, больницы, дома престарелых или правительственные организации, и что часть своей награды жертвует на благотворительность. Сообщается, что группа требует оплаты за ключ дешифрования и все чаще требует дополнительных платежей, чтобы не публиковать украденные данные. DarkSide также недавно заявила на своем веб-сайте, что это не имеет геополитических мотивов.
Уроки, извлеченные
Критическая инфраструктура США стала популярной целью кибервойн. Слабая сторона - это устаревшие системы технического и промышленного контроля (АСУ ТП), которым может не хватать адекватной физической и кибербезопасности.
Проблема не нова, но количество атак продолжает расти.
Быстрые подсказки
Ни один бизнес не застрахован от атак программ-вымогателей.
- Ограничивать административные привилегии.
- Ограничьте использование оборудования и программного обеспечения разрешенным оборудованием и программным обеспечением. Хотя это возможно не во всех организациях, это важно для организаций критической инфраструктуры.
- Отслеживайте поведение системы, приложения, сети и пользователей на предмет аномальной активности.
- Проведите тщательную оценку кибербезопасности, которая включает тестирование на проникновение в белых шляпах. Организации критически важной инфраструктуры должны проверять физические и кибер-слабые места.
- Укрепите слабые места.
- Есть план реагирования на инциденты на месте, который включает в себя операции, финансы, юриспруденцию, комплаенс, ИТ, управление рисками и коммуникации.
- Патчи программное обеспечение как можно скорее.
- Обучать и обновлять персонал по кибергигиена.
- Если ваша компания подверглась нападению, наймите фирму, которая специализируется на судебно-медицинская экспертиза. При необходимости обратитесь в местные и федеральные правоохранительные органы.
Источник: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline