Ознаки вказують на те, що саме DarkSide, хакерська група, схожа на Робін Гуда, успішно здійснила вимагачів атаку, яка зупинила базований у Джорджії Colonial Pipeline. Є суперечливі повідомлення про те, як інцидент ще більше вплине на розподіл внутрішньої нафти США до східних штатів і ціни на газ.
Приватні компанії, які співпрацюють з урядовими установами США, відключають хмарні сервери, з яких були здійснені атаки на Colonial Pipeline та 12 інших компаній. Вони також вилучили викрадені дані, які прямували до Росії.
Магістральний трубопровід закритий вже кілька днів. Хоча менші трубопроводи також постраждали, вони були відновлені спочатку в рамках поетапного плану. Трубопровід тягнеться від Техасу на північний схід, доставляючи близько 45% палива, споживаного східним узбережжям..
Факти
У п’ятницю, 7 травня, компанія Colonial Pipeline оголосила про припинення роботи внаслідок інциденту з програмою-вимагачем, яка призвела до зупинки основного та менших трубопроводів. Реагування на інцидент почалося напередодні, у четвер.
У неділю менші лінії знову запрацювали. Однак на момент написання цієї статті основна лінія не працює. На початку тижня президент Джо Байден співпрацював із Міністерством транспорту, щоб скасувати обмеження на перевезення нафти вантажівками, щоб забезпечити потік газопродуктів. У середу Білий дім оприлюднив Указ про посилення національної кібербезпеки. Колоніальний трубопровід тепер повністю працює, але не раніше, ніж охоплені панікою споживачі почали накопичувати газ і скаржитися на завищення цін.
Colonial Pipeline транспортує понад 2.5 мільйона барелів на день дизельного палива, бензину, авіаційного палива та природного газу через трубопроводи узбережжя Мексиканської затоки, які простягаються понад 5,500 миль.
Про це повідомляє Reuters Хакери вкрали понад 100 ГБ даних і що ФБР та інші урядові установи успішно співпрацювали з приватними компаніями, щоб вивести з ладу хмарні сервери, які хакери використовували для викрадення даних. Сума викупу залишається нерозкритою, як і реакція Colonial Pipelines на спробу вимагання.
DarkSide стверджує, що він не націлений на школи, лікарні, будинки престарілих чи державні організації, і що він жертвує частину своєї винагороди на благодійність. Повідомляється, що група вимагає плату за ключ дешифрування та все частіше вимагає додаткову плату, щоб не публікувати викрадені дані. DarkSide також нещодавно заявив на своєму веб-сайті, що не має геополітичних мотивів.
Уроки, витягнуті
Критична інфраструктура США стала популярною метою кібервійни. Слабкою нижньою частиною є застарілі технічні та промислові системи управління (ICS), які можуть не мати достатньої фізичної та кібербезпеки.
Проблема не нова, але кількість атак продовжує зростати.
Поради
Жоден бізнес не застрахований від атаки програм-вимагачів.
- Limit адміністративні привілеї.
- Обмежте використання апаратного та програмного забезпечення авторизованим апаратним та програмним забезпеченням. Хоча це можливо не в усіх організаціях, це важливо для організацій критичної інфраструктури.
- Відстежуйте поведінку системи, програми, мережі та користувача на наявність аномальної активності.
- Проведіть ретельну оцінку кібербезпеки, яка передбачає тестування на проникнення в білому капелюсі. Організації критичної інфраструктури повинні перевіряти фізичні та кібернетичні місця.
- Зміцніть м'які місця.
- Довірте план реагування на події на місці, що включає операційну, фінансову, юридичну, відповідність, ІТ, управління ризиками та комунікації.
- пластир програмне забезпечення якомога швидше.
- Навчайте та оновлюйте робочу силу кібергігієна.
- Якщо вашу компанію атакують, залучайте фірму, яка спеціалізується на судово-медичної експертизи. За необхідності зверніться до місцевих і федеральних правоохоронних органів.
Джерело: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline
