Największa amerykańska firma zajmująca się rurociągami zaatakowana przez atak ransomware DarkSide

Colonial Pipeline, jeden z głównych dostawców paliw, który jest odpowiedzialny za dostarczanie mniej więcej połowy wszystkich paliw ciekłych wykorzystywanych na wschodnim wybrzeżu Ameryki, stał się celem ataku oprogramowania ransomware pod koniec zeszłego tygodnia. W wyniku cyberataku firma musiała wstrzymać normalną eksploatację rurociągu, a Departament Transportu USA wdrożył protokoły awaryjne, umożliwiające dostawę paliwa z krajowej sieci drogowej, aby zapobiec poważnym zakłóceniom w dostawach paliwa.

Firma Colonial Pipeline ogłosiła, że stała się celem ataku oprogramowania ransomware w weekend, a incydent miał miejsce w zeszły piątek. Firma ogłosiła również, że zamknęła wiele swoich sieci i systemów w trybie offline, aby ograniczyć rozprzestrzenianie się oprogramowania ransomware i uniknąć dalszych, bardziej znaczących szkód.

Firma poinformowała również wszystkie odpowiednie władze USA o ataku, a także wynajęła zewnętrzną firmę ochroniarską, aby pomogła przywrócić jej sieci do trybu online i zbadać atak. FBI również zajmowało się sprawą od kilku dni, a Biuro ujawniło, że aktor będący zagrożeniem stojącym za atakiem został zidentyfikowany jako cyber gang DarkSide.

DarkSide - nowe zagrożenie ze znanej nazwy

DarkSide nie jest obcy FBI i całej branży cyberbezpieczeństwa. Pierwsze prześledzone działania aktora-groźby sięgają 2020 roku. DarkSide są znane z prób zbudowania czegoś w rodzaju obrazu Robin Hooda, publikując na swojej stronie paragony z darowizn na cele charytatywne, dokonanych przy użyciu pieniędzy z cyber okupu.

https://www.youtube.com/watch?v=EivrvcsMhwY

Przepływ rurociągu Colonial został teraz odcięty na trzy dni z rzędu, a firma twierdzi, że podejmuje stopniowe kroki w celu przywrócenia normalnej eksploatacji. Nawet jeśli tankowce wykorzystują drogi do dostarczania paliwa na wschodnie wybrzeże, rafinerie, które wyprowadzają swoją produkcję do rurociągu, nie będą w stanie magazynować wyprodukowanego paliwa znacznie dłużej, więc wznowienie normalnej eksploatacji rurociągu ma kluczowe znaczenie nie tylko dla kolonialnego i użytkowników końcowych, ale także do zakładów produkcyjnych.

Eksperci ds. Bezpieczeństwa obserwujący atak skomentowali potrzebę bardzo dobrej segmentacji sieci jako dobrej obrony przed tego rodzaju atakami ransomware, w szczególności przed zagrożeniem DarkSide Ransomware używanym przez sprytną grupę hakerów. Nie jest do końca jasne, czy Colonial wyłączył swoje sieci, ponieważ były już zainfekowane, czy też w celu zapobieżenia dalszym szkodom. Jednak dobra segmentacja informacji oraz systemów operacyjnych i sieci jest absolutnie konieczna, jeśli chodzi o dobre bezpieczeństwo cybernetyczne.

Podmiot będący zagrożeniem, który uzyskał dostęp do sieci informatycznej przedsiębiorstwa i naraził się na szwank, może łatwo przejść do systemów operacyjnych i sieci, jeśli nie będą przestrzegane dobre protokoły segmentacji i separacji. Gdy podmiot będący zagrożeniem zdołał sparaliżować sieć operacyjną podmiotu tak dużego i tak ważnego jak Colonial Pipeline, potencjalne szkody mogą być ogromne i mieć coś więcej niż tylko manifestację pieniężną.

Wygląda na to, że oprogramowanie ransomware nigdzie się nie wybiera, a liczba przypadków ataków ransomware wzrosła o około 150 procent w ciągu poprzedniego roku. Biorąc pod uwagę dostępne dotychczas dane w 2021 r., Trend ten może się utrzymać.

Okaże się, czy Colonial Pipeline będzie w stanie przywrócić do sieci wszystkie swoje systemy operacyjne do końca tygodnia, zgodnie z planami firmy i co może okazać się kluczowe dla przemysłu paliwowego w dużej części Stanów Zjednoczonych.