Poate fi chiar un moment important în cronologia ransomware-ului, un pas prea departe, dacă doriți. Impactul unei companii pentru o perioadă poate fi frustrant pentru consumatori și rău pentru acea companie. Impactul unei conducte de combustibil, forțarea companiei să o oprească, care afectează fiecare industrie și consumator care depind de petrolul rafinat, este cu totul altă chestiune. Fiecare persoană care a trebuit să facă coadă pentru combustibil sau chiar nu a putut obține combustibil se va considera probabil ca fiind afectată de incident sau chiar se va clasifica drept victime ale atacului.
În urma incidentului, guvernele din întreaga lume au luat act de daunele pe care le pot provoca ransomware-urilor populației generale. SUA și Marea Britanie au emis declarații care evidențiază ceea ce vor face guvernele lor în viitor și, în prezent, pentru a proteja și preveni populația care le-a votat la putere. Pe 12 mai 2021, președintele SUA, Joe Biden, a semnat un ordin executiv menit să consolideze drastic utilizarea măsurilor preventive, cum ar fi detectarea și răspunsul punctului final de autentificare cu mai mulți factori și păstrarea jurnalelor, precum și un comitet de evaluare a siguranței cibersecurității.
Descrisă ca adoptarea unei abordări de încredere zero ca serviciu, intenția ordinului a fost clarificată în paragraful următor,
„Îmbunătățirile incrementale nu ne vor oferi siguranța de care avem nevoie; în schimb, guvernul federal trebuie să facă schimbări îndrăznețe și investiții semnificative pentru a apăra instituțiile vitale care stau la baza modului de viață american. Guvernul federal trebuie să aducă la îndeplinire întregul domeniu de aplicare al autorităților și resurselor sale pentru a-și proteja și securiza sistemele informatice, indiferent dacă acestea sunt bazate pe cloud, locale sau hibride. Domeniul de protecție și securitate trebuie să includă sisteme care procesează date (tehnologia informației (IT)) și cele care rulează echipamentul vital care asigură siguranța noastră (tehnologia operațională (OT)). ”
Ordinul prevede ca agențiile guvernamentale să dispună de 180 de zile pentru a implementa autentificarea cu mai mulți factori și pentru a cripta datele atât în repaus, cât și în tranzit „în măsura maximă” disponibilă în conformitate cu înregistrările federale și alte legi.
Agențiile care nu pot respecta termenul limită vor trebui să ofere o explicație scrisă de ce nu. Împreună cu ordinul executiv, Casa Albă a emis și o foaie informativă pentru a explica mai bine unele dintre ramificațiile și intenția ordinului. Fișa informativă menționează în continuare că,
„Acest ordin executiv aduce o contribuție semnificativă la modernizarea sistemelor de apărare împotriva securității cibernetice prin protejarea rețelelor federale, îmbunătățirea schimbului de informații între guvernul SUA și sectorul privat cu privire la problemele cibernetice și consolidarea capacității Statelor Unite de a răspunde la incidente atunci când acestea apar. Este primul dintre mulți pași ambițioși pe care administrația îi face pentru modernizarea apărării cibernetice naționale. Cu toate acestea, incidentul Colonial Pipeline este un memento că acțiunea federală singură nu este suficientă. O mare parte din infrastructura noastră critică internă este deținută și operată de sectorul privat, iar acele companii din sectorul privat își iau propria hotărâre cu privire la investițiile în securitate cibernetică. Încurajăm companiile din sectorul privat să urmeze direcția guvernului federal și să ia măsuri ambițioase pentru a spori și alinia investițiile în securitatea cibernetică cu scopul de a minimiza incidentele viitoare. ”
Prin referirea directă la incidentul Colonial Pipeline, guvernul recunoaște rolul pe care sectorul privat trebuie să îl joace în consolidarea politicilor și protocoalelor sale de securitate cibernetică. De asemenea, se speră că ordinul executiv va oferi un cadru pentru o mai bună cooperare între agențiile guvernamentale și sectorul privat. În plus, va fi creat și un manual de joc standardizat pentru răspunsul la incidente, la fel ca un „sistem de detectare și răspuns al punctelor finale la nivelul întregului guvern” și mandatul de a menține jurnale pentru a ajuta la detectarea, investigarea și remedierea incidentelor.
Dacă toate aceste măsuri vor fi îndeplinite în viitor, probabil că va face viața hackerilor mult mai grea. Ar fi naiv să credem că aceste măsuri vor șterge problema ransomware-ului, întrucât intră în joc mulți factori, inclusiv realitățile geopolitice, dar poate fi văzut ca un pas în direcția cea bună.
Declarația făcută de Dominic Raab, ministrul de externe al Marii Britanii, s-a axat mai mult pe realitățile geopolitice care modelează peisajul amenințărilor. Într-un discurs la conferința CYBERUK 21 a Centrului Național de Securitate Cibernetică (NCSC), secretarul de externe a cerut Rusiei să facă mai multe pentru a combate criminalii cibernetici care operează din interior pe teritoriul său. Este un fapt bine cunoscut al vieții că, dacă hackerii ruși motivați financiar nu vizează interesele rusești, există puține amenințări din partea forțelor de ordine rusești sau a guvernului de a-și opri activitățile. Cinicul poate merge chiar mai departe și spune că permisiunea hackerilor ruși să vizeze concurența Rusiei pe scena globală sporește interesele rusești.
O astfel de viziune este susținută de faptul că codul unor tulpini de malware specifice este codificat în mod dur pentru a nu fi instalat pe mașini care folosesc limbi asociate vechii Uniuni Sovietice. Acest lucru nu se instalează în organizații vorbitoare de limbă rusă sau persoane fizice sunt, de asemenea, completate de un cod care va împiedica instalarea dacă se detectează o adresă IP dintr-una din vechile țări cu bloc sovietic. Raab, comentând acest lucru, a declarat:
„Când state precum Rusia au criminali sau bande care operează de pe teritoriul lor, nu pot să fluture mâinile și să nu spună nimic de-a face cu ei - chiar și atunci când nu este legat direct de stat, au responsabilitatea de a-i urmări pe acești bandi și pe acei indivizi, nu pentru a-i adăposti ”
Strălucind o lumină pe DarkSide
Având în vedere incidentul și cuibul de viespe pe care l-a dat în mișcare, nu este de mirare că cercetătorii de la firmele de securitate au încercat să lumineze DarkSide operațiunile . Pe 11 mai 2021, FireEye a publicat un articol pe blogul lor care detaliază cinci grupuri suspectate de activitate DarkSide. Având în vedere că operațiunea este configurată ca un grup separat de activitate ransomware-as-a-service, este de așteptat, având în vedere că afiliații vor efectua găsirea și infectarea țintelor, apoi vor împărți profitul cu grupul de dezvoltare principal al malware-ului. De obicei, această împărțire este de 20 până la 30% pentru grupul de bază, cu afiliații care împart restul.
Postările de pe forum sugerează că DarkSide își mărește și cota de plată în funcție de suma de răscumpărare plătită, pentru orice sub 500.000 USD, împărțirea va fi de 25%, scăzând la 10% dacă peste 5 milioane USD.
FireEye a furnizat informații despre trei dintre cele cinci clustere, acestea fiind urmărite de firma de securitate ca UNC2628, UNC2659 și UNC2465. Fiecare grup sau grup are tactici unice care le fac mai ușor de identificat, iar articolul face lectură interesantă. Rezumând pe scurt fiecare cluster, FireEye a furnizat următoarele descrieri:
- UNC2628 este activă cel puțin din februarie 2021. Intruziunile lor progresează relativ repede, actorul amenințării implementând de obicei ransomware în două-trei zile. Avem câteva dovezi care sugerează că UNC2628 a colaborat cu alte RaaS, inclusiv SODINOKIBI (REvil) și NETWALKER.
- UNC2659 este activă cel puțin din ianuarie 2021. Am observat că actorul amenințător se mișcă pe tot parcursul ciclului de viață al atacului în mai puțin de 10 zile. UNC2659 este remarcabilă având în vedere utilizarea lor de un exploit în produsul SonicWall SMA100 SSL VPN, care a fost de atunci corecționat de SonicWall. Actorul amenințător pare să descarce mai multe instrumente utilizate pentru diferite faze ale ciclului de viață al atacului direct de pe site-urile publice legitime ale acestor instrumente. (Aceeași vulnerabilitate SonicWall a fost văzută exploatată de FIveHands banda de ransomware .)
- Activitatea UNC2465 datează din cel puțin aprilie 2019 și se caracterizează prin utilizarea lor de TTP-uri similare pentru a distribui SMOKEDHAM în spate .NET bazat pe PowerShell în mediile victimelor. Într-un caz în care DARKSIDE a fost desfășurat, au existat lacune de câteva luni, cu activitate intermitentă doar între momentul compromisului inițial și implementarea ransomware-ului. În unele cazuri, acest lucru ar putea indica faptul că accesul inițial a fost furnizat de un actor separat.
Deocamdată nu este clar dacă vreunul dintre grupurile menționate mai sus a fost implicat în incidentul Colonial Pipeline. Cu toate acestea, potrivit Bloomberg, două surse apropiate de această problemă au spus că compania a plătit o răscumpărare de 5 milioane USD. S-a observat că compania a primit un instrument de decriptare, dar a fost atât de lent încât compania a trebuit să restabilească și datele din copiile de rezervă. Eforturile companiei nu au fost suficiente pentru a preveni perturbarea suferită de Coasta de Est. Până miercuri, compania a readus sistemele online, dar lipsa va dura câteva zile pentru a se remedia.
Sursa: https://www.pcrisk.com/internet-threat-news/20867-colonial-pipeline-incident-ramifications
