Stora amerikanska rörledningsföretag träffade av DarkSide Ransomware Attack

Colonial Pipeline, en av de största bränsleleverantörerna som ansvarar för att leverera ungefär hälften av all användning av flytande bränslen över den amerikanska östkusten, blev målet för en ransomware-attack i slutet av förra veckan. Som ett resultat av cyberattacken fick företaget stoppa den normala rörledningsdriften och det amerikanska transportdepartementet satte igång nödprotokoll, vilket möjliggjorde bränsletillförsel via landets vägnät, för att förhindra allvarliga störningar i bränsletillförseln.

Colonial Pipeline meddelade att det hade blivit målet för en ransomware-attack under helgen, med händelsen någon gång förra fredagen. Företaget meddelade också att det hade stängt av ett antal av sina nätverk och system offline i ett försök att begränsa spridningen av ransomware och undvika ännu mer, mer betydande skador.

Företaget hade också informerat alla lämpliga amerikanska myndigheter om attacken och hade även anställt ett tredje parts säkerhetsföretag för att få tillbaka sina nätverk online och undersöka attacken. FBI hade också varit i saken i flera dagar nu och presidiet avslöjade att hotaktören bakom attacken har identifierats som DarkSide cybergäng.

DarkSide - Ny hot från ett bekant namn

DarkSide är inga främlingar för FBI och cybersäkerhetsindustrin som helhet. Hotskådespelarens första spårade handlingar går tillbaka till 2020. DarkSide är kända för att försöka bygga något av en Robin Hood-bild och publicera kvitton från välgörenhetsdonationer på sin webbplats, gjorda med hjälp av cyberlösenpengar.

https://www.youtube.com/watch?v=EivrvcsMhwY

Flödet av Colonials rörledning har nu avbrutits tre dagar i rad och företaget säger att det tar stegvis steg för att återställa regelbunden drift. Även med tankbilar som använder vägarna för att leverera bränsle till östkusten kommer raffinaderierna som producerar sin produktion i rörledningen inte att kunna lagra producerat bränsle lokalt mycket längre, så återupptagandet av normal rörledning är avgörande inte bara för Colonial och slutanvändarna men också till produktionsplatserna.

Säkerhetsexperter som observerade attacken kommenterade behovet av mycket bra nätverkssegmentering som ett bra försvar mot ransomware-attacker av detta slag, särskilt DarkSide Ransomware- hotet som används av en smart hackergrupp. Det är inte helt klart om Colonial tog sina nätverk offline eftersom de redan var infekterade eller som en försiktighetsåtgärd för att stoppa ytterligare skador. Bra segmentering av informations- och operativa system och nätverk är dock absolut nödvändigt när det gäller god cybersäkerhet.

En hotaktör som har fått tillgång och komprometterat IT-nätverket i ett företag kan lätt flytta till operativa system och nätverk om inte bra segmenterings- och separationsprotokoll observeras. När en hotaktör lyckades förstöra det operativa nätverket för en enhet som är lika stor och lika viktig som Colonial Pipeline, kan den potentiella skadan vara enorm och ha mer än bara en monetär manifestation.

Ransomware går inte någonstans, verkar det, med fall av ransomware-attacker som steg cirka 150 procent under året innan. Med tanke på de tillgängliga uppgifterna hittills 2021 kan denna trend fortsätta.

Det återstår att se om Colonial Pipeline kommer att kunna få tillbaka alla sina operativa system online i slutet av veckan, som företaget planerar och som kan visa sig vara avgörande för bränsleindustrin i en stor del av USA.