Tecken pekar på att det var DarkSide, en Robin Hood-liknande hackingsgrupp som framgångsrikt körde en Ransomware attackera den avstängningen av den Georgibaserade Colonial Pipeline. Det finns motstridiga rapporter om hur incident kommer att påverka distributionen av amerikansk inhemsk olja till öststaterna och gaspriserna ytterligare.
Privata företag som arbetar med amerikanska myndigheter stänger av molnservrarna från vilka attackerna mot Colonial Pipeline och 12 andra företag lanserades. De hämtade också de stulna uppgifterna som var på väg till Ryssland.
Huvudledningen har varit stängd i flera dagar. Medan de mindre rörledningarna också påverkades, återställdes de först som en del av en fasplan. Rörledningen sträcker sig från Texas till nordöstra och levererar cirka 45% av bränslet som förbrukas av östkusten.
Fakta
Fredagen den 7 maj meddelade Colonial Pipeline att dess verksamhet hade stoppats till följd av en ransomware-incident som stängde av huvudledningen och mindre rörledningar. Incidentresponsen började dagen innan, på torsdagen.
På söndagen var de mindre linjerna i drift igen. Huvudlinjen förblir dock nere när detta skrivs. Tidigt på veckan arbetade president Joe Biden med transportdepartementet för att lyfta restriktioner för oljetruckar för att hålla gasprodukterna flödande. På onsdagen släppte Vita huset en Verkställande beslut om förbättring av nationell cybersäkerhet. Colonial Pipeline är nu fullt fungerande, men inte förrän panikhåriga konsumenter började hamstra gas och klaga på prissättning.
Colonial Pipeline transporterar mer än 2.5 miljoner fat om dagen med diesel, bensin, flygbränsle och naturgas via Gulf Coast-rörledningar som sträcker sig över 5,500 mil.
Reuters rapporterade det hackarna stal mer än 100 GB data och att FBI och andra myndigheter hade framgångsrikt samarbetat med privata företag för att ta ner molnservrarna som hackarna använde för att stjäla informationen. Återlösningsbeloppet förblir oupptäckt och det gör också Colonial Pipelines svar på utpressningsförsöket.
DarkSide hävdar att det inte riktar sig till skolor, sjukhus, vårdhem eller statliga organisationer och att det donerar en del av sin rikedom till välgörenhet. Gruppen begär enligt uppgift betalning för en dekrypteringsnyckel och kräver alltmer extra betalning för att inte publicera stulna data. DarkSide uppgav också på sin webbplats nyligen att det inte är geopolitiskt motiverat.
Lärdomar
Amerikansk kritisk infrastruktur har blivit ett populärt cyberware-mål. Den svaga magen har varit åldrande tekniska och industriella kontrollsystem (ICS) som kan sakna tillräcklig fysisk och cybersäkerhet.
Problemet är inte nytt, men antalet attacker fortsätter att öka.
Tips
Ingen verksamhet är immun mot en ransomware-attack.
- Begränsa administrativa privilegier.
- Begränsa användningen av hårdvara och programvara till auktoriserad hårdvara och programvara. Även om detta kanske inte är möjligt i alla organisationer är det viktigt för kritiska infrastrukturorganisationer.
- Övervaka system, applikationer, nätverk och användarnas beteende för avvikande aktivitet.
- Gör en grundlig cybersäkerhetsbedömning som involverar penetrering av vit mössa. Kritiska infrastrukturorganisationer bör kontrollera om det finns fysiska och cyberbrister.
- Stärka de mjuka fläckarna.
- Ha en plan för incidenthantering på plats som involverar verksamhet, ekonomi, juridisk, efterlevnad, IT, riskhantering och kommunikation.
- Lappa programvara så snart som möjligt.
- Träna och uppdatera arbetskraften vidare cyberhygien.
- Om ditt företag attackeras, anlita ett företag som är specialiserat på kriminalteknik. Kontakta lokal och federal brottsbekämpning, om så är lämpligt.
Källa: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline
