Các dấu hiệu chỉ ra rằng đó là DarkSide, một nhóm hack giống như Robin Hood đã thực hiện thành công một ransomware tấn công làm đóng cửa Đường ống Thuộc địa có trụ sở tại Georgia. Có những báo cáo mâu thuẫn về cách sự cố sẽ tác động hơn nữa đến việc phân phối dầu nội địa của Hoa Kỳ đến các bang miền Đông và giá khí đốt.
Các công ty tư nhân làm việc với các cơ quan chính phủ Hoa Kỳ đã đóng cửa các máy chủ đám mây mà từ đó các cuộc tấn công vào Colonial Pipeline và 12 công ty khác đã được phát động. Họ cũng truy xuất dữ liệu bị đánh cắp được ràng buộc cho Nga.
Đường ống chính đã bị đóng cửa trong vài ngày. Trong khi các đường ống nhỏ hơn cũng bị ảnh hưởng, chúng đã được khôi phục trước tiên như một phần của kế hoạch theo từng giai đoạn. Đường ống trải dài từ Texas đến Đông Bắc, cung cấp khoảng 45% lượng nhiên liệu tiêu thụ cho Bờ biển phía Đông.
Các Sự kiện
Vào thứ Sáu, ngày 7 tháng XNUMX, Colonial Pipeline thông báo hoạt động của họ đã bị tạm dừng do sự cố ransomware làm tắt đường ống chính và các đường ống nhỏ hơn. Phản ứng sự cố đã bắt đầu một ngày trước đó, vào thứ Năm.
Đến Chủ nhật, các đường dây nhỏ hơn đã hoạt động trở lại. Tuy nhiên, dòng chính vẫn còn ở thời điểm viết bài này. Vào đầu tuần, Tổng thống Joe Biden đã làm việc với Bộ Giao thông Vận tải để dỡ bỏ các hạn chế về giờ vận tải dầu để giữ cho các sản phẩm khí đốt được lưu thông. Vào thứ Tư, Nhà Trắng đã phát hành một Lệnh hành pháp về phá vỡ an ninh mạng quốc gia. Đường ống Thuộc địa hiện đã hoạt động đầy đủ, nhưng không phải trước khi người tiêu dùng hoảng sợ bắt đầu tích trữ xăng và phàn nàn về việc khoét giá.
Colonial Pipeline vận chuyển hơn 2.5 triệu thùng dầu diesel, xăng, nhiên liệu máy bay và khí đốt tự nhiên mỗi ngày thông qua các đường ống Bờ Vịnh kéo dài hơn 5,500 dặm.
Reuters đưa tin tin tặc đã đánh cắp hơn 100 GB dữ liệu và FBI và các cơ quan chính phủ khác đã hợp tác thành công với các công ty tư nhân để gỡ các máy chủ đám mây mà tin tặc sử dụng để đánh cắp dữ liệu. Số tiền chuộc vẫn không được tiết lộ và phản ứng của Colonial Pipelines đối với âm mưu tống tiền cũng vậy.
DarkSide tuyên bố nó không nhắm mục tiêu vào các trường học, bệnh viện, viện dưỡng lão hoặc các tổ chức chính phủ và rằng nó tặng một phần tiền thưởng của mình cho tổ chức từ thiện. Nhóm này được cho là yêu cầu thanh toán cho một khóa giải mã và ngày càng yêu cầu thanh toán bổ sung để không công bố dữ liệu bị đánh cắp. DarkSide gần đây cũng tuyên bố trên trang web của mình rằng nó không có động cơ địa chính trị.
Bài học kinh nghiệm
Cơ sở hạ tầng quan trọng của Mỹ đã trở thành mục tiêu chiến tranh mạng phổ biến. Điểm yếu bên dưới là các hệ thống điều khiển công nghiệp và công nghệ (ICS) cũ kỹ có thể thiếu an ninh mạng và vật lý đầy đủ.
Vấn đề không phải là một vấn đề mới, nhưng số lượng các cuộc tấn công tiếp tục tăng.
Mẹo nhanh
Không có doanh nghiệp nào miễn nhiễm với cuộc tấn công bằng ransomware.
- Hạn chế đặc quyền hành chính.
- Hạn chế sử dụng phần cứng và phần mềm đối với phần cứng và phần mềm được phép. Mặc dù điều này có thể không thực hiện được ở tất cả các tổ chức, nhưng điều này rất quan trọng đối với các tổ chức cơ sở hạ tầng quan trọng.
- Giám sát hệ thống, ứng dụng, mạng và hành vi của người dùng để tìm hoạt động bất thường.
- Thực hiện đánh giá an ninh mạng kỹ lưỡng bao gồm thử nghiệm thâm nhập mũ trắng. Các tổ chức cơ sở hạ tầng quan trọng nên kiểm tra các điểm yếu vật lý và mạng.
- Gia cố các điểm mềm.
- Có một kế hoạch ứng phó sự cố tại chỗ liên quan đến hoạt động, tài chính, pháp lý, tuân thủ, CNTT, quản lý rủi ro và truyền thông.
- Vá phần mềm càng sớm càng tốt.
- Đào tạo và cập nhật lực lượng lao động trên vệ sinh mạng.
- Nếu công ty của bạn bị tấn công, hãy tham gia vào một công ty chuyên về pháp y. Liên hệ với cơ quan thực thi pháp luật địa phương và liên bang, nếu thích hợp.
Nguồn: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline
