Incidentul Ransomware Colonial Pipeline

Incidentul Ransomware Colonial Pipeline

Incidentul Ransomware "DarkSide - Colonial Pipeline"

Ransomware face din nou titluri.  Incidentul a arătat cum operatorii de ransomware să exploateze controale slabe ale rețelei și securității și cum ar trebui redusă la minimum acordarea de privilegii de administrator. Acum, un incident recent arată cât de dăunător poate fi un incident de ransomware, nu doar pentru o organizație, ci pentru societate în ansamblu.

Incidentul a implicat oprirea forțată a celei mai mari conducte de petrol rafinat din SUA. Colonial Pipeline transportă petrol din Golful Mexic către piețele din sudul și estul Statelor Unite. Compania transportă 2,5 milioane de barili pe zi prin conducta sa de 5.500 de mile și furnizează 45% din tot combustibilul consumat pe coasta de est a SUA. Închiderea este de așteptat să aibă un impact negativ asupra prețului petrolului pentru consum pe o piață deja volatilă, potrivit Wall Street Journal . Apar deja rapoarte privind benzinăriile deservite în mod obișnuit de conducta care funcționează din nou, având impact negativ asupra consumatorilor.

 DeclarațieIncidentul Ransomware Colonial Pipeline 13 Mai

În urma atacului, compania Colonial Pipeline a emis o declarație în care preciza:

„Pe 7 mai, Colonial Pipeline Company a aflat că a fost victima unui atac de securitate cibernetică. Ca răspuns, am luat în mod proactiv anumite sisteme offline pentru a conține amenințarea, care a oprit temporar toate operațiunile de conducte și a afectat unele dintre sistemele noastre IT. La aflarea problemei, s-a angajat o firmă de securitate cibernetică principală, care a lansat deja o anchetă asupra naturii și sferei acestui incident, care este în curs. Am contactat forțele de ordine și alte agenții federale.

Colonial Pipeline ia măsuri pentru a înțelege și a rezolva această problemă. În acest moment, obiectivul nostru principal este restaurarea sigură și eficientă a serviciului nostru și eforturile noastre de a reveni la funcționarea normală. Acest proces este deja în desfășurare și lucrăm cu sârguință pentru a aborda această problemă și pentru a reduce la minimum perturbările clienților noștri și celor care se bazează pe Colonial Pipeline. ”

Având în vedere amploarea și gravitatea incidentului, au fost adresate imediat întrebări cu privire la cine este responsabil. La scurt timp după ce incidentul a început să fie publicat în New York Times și în alte știri internaționale, s-au sugerat cei din spatele ransomware DarkSide variantei de . Washington Post a fost probabil prima publicație care a arătat public cu degetul spre grup.Cei cinci reactioneaza la rapoartele despre care Biden este panicat pe masura ce temerile economice cresc

Aceste informații au fost date jurnaliștilor de către o sursă familiarizată cu problema. Timp de câteva zile, publicul putea continua. Luni, 10 mai, FBI a declarat oficial prin Twitter că cei din spatele DarkSide erau într-adevăr responsabili de atac, care, la momentul redactării acestui document, lăsase încă o mare parte din conductă inoperabilă.

Atacul a avut ca rezultat ca Casa Albă să convoace o întâlnire de urgență pentru a descoperi cine era responsabil și care a fost amploarea daunelor. Atât oficialii Casei Albe, cât și oficialii serviciilor de informații cred că atacul a fost efectuat doar în scopuri financiare și nu a implicat nicio participare sponsorizată de stat.

Se crede că operatorii DarkSide își au sediul în Europa de Est, Rusia fiind un puternic concurent pentru țara de origine. Atacul este semnificativ din mai multe motive, inclusiv expunerea vulnerabilităților din infrastructura critică. În ultimii ani, am văzut că hackerii au devenit mai descurajați în ceea ce privește atacurile împotriva infrastructurii, inclusiv rețelele electrice, conductele, spitalele și instalațiile de tratare a apei.

Pe baza investigațiilor preliminare s-a dovedit că atacatorii nu au urmat conducta, ci mai degrabă operațiunile de back-office ale Colonial Pipeline. Cu toate acestea, frica de daune mai mari a forțat compania să oprească sistemul, o mișcare care a condus acasă vulnerabilitățile uriașe din rețeaua împachetată care menține benzinăriile, stațiile de camioane și aeroporturile în funcțiune. De asemenea, s-a descoperit că controalele de securitate ale Colonial Pipelines au lăsat mult de dorit, potrivit anchetatorilor federali. Colonial Pipelines nu a comentat cât de mult a investit în securitatea cibernetică și a ezitat să spună dacă are sau intenționează să plătească răscumpărarea.

Anne Neuberger, consilierul adjunct pentru securitate națională pentru tehnologia cibernetică și tehnologiile emergente, a declarat reporterilor într-un briefing de la Casa Albă, a declarat: „În prezent, [Colonial Pipeline] nu a solicitat sprijin cibernetic guvernului federal”. Întrebată dacă guvernul federal va sfătui să plătească răscumpărarea, ea a refuzat să răspundă, dar a spus: „Companiile sunt adesea într-o poziție dificilă dacă datele lor sunt criptate și nu au copii de rezervă și nu pot recupera datele”.

DarkSide răspunde

În urma anunțului FBI, cei din spatele operațiunilor DarkSide au lansat un fel de „ declarație de presă ”, afirmând:

„Suntem apolitici, nu participăm la geopolitică, nu trebuie să ne legăm de un guvern definit și să căutăm alte motive.
Scopul nostru este să câștigăm bani și să nu creăm probleme pentru societate. De astăzi introducem moderarea și verificăm fiecare companie pe care partenerii noștri doresc să o cripteze pentru a evita consecințele sociale în viitor. ”

Ne putem imagina că declarația nu va face prea mult pentru a opri forțele de ordine să-i urmărească pe cei implicați. Declarația confirmă că cel puțin atacul a fost motivat financiar și nu va intensifica relațiile diplomatice deja tensionate între puterile mondiale. Cu toate acestea, acțiunea hackerilor a încălcat mai multe legi și a cauzat perturbări grave ale serviciilor și va fi puțin probabil ca forțele de ordine să ofere grupului vreo clemență. Gama din spatele ransomware-ului funcționează ca un Ransomware-as-a-Service format din două grupuri. Aceste grupuri sunt dezvoltatorii și afiliații malware-ului care implementează ransomware-ul. Se estimează că operatorii de bază câștigă aproximativ 20-30% din orice plată de răscumpărare, iar restul merge la afiliat.

Unii pot considera că examinarea obiectivelor este o noțiune interesantă și arată că operatorii de bază pot avea un sentiment de decență, deși acțiunile lor sunt ilegale, pentru început. În încercarea de a arăta bunăvoință sau de a câștiga bătălia PR, grupul a donat 20.000 USD în Bitcoin unei organizații caritabile, pe care organizația caritabilă nu o poate accepta din cauza probabilității ca fondul să fie câștigat prin încasările unei infracțiuni. Organizația caritabilă a recunoscut donația și că nu o poate accepta, așa că aceasta poate fi probabil considerată o cascadorie eșuată de PR pentru a arăta remușcări.

Administrația federală pentru siguranța transportatorilor de autovehicule (FMCSA) a fost forțată să declare o stare regională de urgență pentru a ajuta în zonele care au nevoie de o aprovizionare imediată cu benzină, motorină, combustibil pentru avioane și alte produse petroliere rafinate. Declarația afectează 17 state și districtul Columbia. Cele 17 state includ Alabama, Arkansas, Districtul Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, New Jersey, New York, Carolina de Nord, Pennsylvania, Carolina de Sud, Tennessee, Texas și Virginia. Declarația prevede :

„Asistența directă se încheie atunci când un șofer sau un autovehicul comercial este utilizat în comerțul interstatal pentru a transporta marfă sau pentru a furniza servicii care nu susțin eforturile de ajutor de urgență legate de lipsa benzinei, motorinei, combustibilului pentru jet și a altor produse petroliere rafinate din cauza opririi , oprirea parțială și / sau funcționarea manuală a sistemului de conducte coloniale în statele afectate sau atunci când transportatorul cu motor expediază un șofer sau un autovehicul comercial într-o altă locație pentru a începe operațiunile în comerț "

Se teme că, dacă conducta nu va fi readusă la funcționalitate completă până la sfârșitul săptămânii o , criză mai mare ar putea apărea . În statele care au consumat deja combustibil, prețul combustibilului a crescut cu 10c peste noapte pe galon în unele zone. Mai mult, unii consumatori au apelat la cumpărarea de panică după abordarea weekendului Memorial. A spune că DarkSide poate a mers prea departe de data aceasta poate fi o subevaluare.

Pentru unii, și anume operatorii de ransomware, există o credință falsă că ransomware-ul este o infracțiune fără victime, iar companiile de asigurări vor acoperi pierderile. Nu a fost niciodată cazul, chiar înainte ca bandele de răscumpărare să înceapă să divulge date pentru a crește și mai mult presiunea asupra victimelor pentru a plăti răscumpărarea. Incidentul care implică conducta colonială are un impact asupra unei persoane obișnuite de pe stradă și se poate agrava în următoarele zile. Acest lucru va exercita presiuni asupra guvernului pentru a-i găsi pe cei responsabili. Indiferent de câte ori grupul încearcă să doneze fonduri neobținute în scopuri caritabile, porțiuni mari din publicul american vor fi, în cel mai bun caz, nesimțite față de situația lor potențială.

Sursa: https://www.pcrisk.com/internet-threat-news/20841-colonial-pipeline-ransomware-incident

 

Update:

Colonial Pipeline a plătit hackerilor ransomware 5 milioane de dolari, spune oficialul american

În mod istoric FBI a descurajat , dar nu a interzis, victimelor ransomware-ului american să plătească hackerilor, întrucât o plată nu este garantată și poate încuraja infractorii să continue să-i atace pe alții. Într-o conferință de presă, luni, Anne Neuberger, consilierul adjunct pentru securitate națională al Casei Albe pentru tehnologii cibernetice și emergente, a recunoscut că unele organizații ar putea considera că plata criminalilor poate fi în interesul lor.

Colonial Pipeline a plătit hackerilor ransomware 5 milioane de dolari, spune oficialul americanRecunoaștem, însă, că companiile sunt adesea într-o poziție dificilă dacă datele lor sunt criptate și nu au copii de rezervă și nu pot recupera datele”, a spus ea.

Vorbind la joi cu Andrea Mitchell de MSNBC, Neuberger a spus că sfatul Casei Albe rămâne că victimele nu plătesc răscumpărarea.

„Guvernul federal, descurajăm plata răscumpărărilor, deoarece plata prolifică a răscumpărărilor încurajează răscumpărarea”.

Hackerii, cunoscuți sub numele de DarkSide, fac parte dintr-o serie de grupuri de ransomware care țin ostatice fișierele organizațiilor și solicită o plată, fie prin blocarea fișierelor lor, făcându-le inutilizabile, fie amenințând că le vor elibera publicului.

DarkSide, la fel ca multe bande de ransomware, se crede că funcționează în Rusia , iar programul lor de ransomware este conceput pentru a se închide dacă infectează computerele care funcționează în limba rusă.

Președintele Joe Biden a declarat luni că serviciile secrete americane consideră că DarkSide funcționează în interiorul granițelor Rusiei și că, deși nu pare să fie condus de guvernul rus, el „va purta o conversație” cu președintele rus Vladimir Putin despre astfel de grupuri . „Au o oarecare responsabilitate să se ocupe de acest lucru”, a spus el.

DarkSide, în special, este notoriu pentru că oferă victimelor care plătesc un program de decriptare care funcționează dureros, a spus Brett Callow, analist la firma de securitate cibernetică Emsisoft.

Colonial a reținut compania de securitate cibernetică Mandiant pentru a face față atacului. Mandiant nu plătește direct bandele de ransomware în numele clienților, a spus un purtător de cuvânt al companiei, dar recunoaște că victimele pot alege să facă acest lucru.