Атака на американскую трубопроводную систему Colonial Pipeline

Кибератака, уже занявшая свое законное место в ТОП самый весомых атак 2021 года – заражение инфраструктуры Colonial Pipeline вымогательским ПО группировки DarkSide.

Что произошло и последовало:

  •   7 мая компания сообщала о заражении инфраструктуры и отключила операционные сервисы, что отключило снабжение бензином в большой части восточного побережья США

8eb2533f239082b0fe769110ef5ca15b.png

  •  8 мая компания перевела вымогателям $5 млн. Но операции по расшифрованию предоставленным ключом не были эффективны.

  •  10 мая компания сообщила о начале работ по восстановлению систем.

  •  10 мая команда DarkSide выпустила обращение, где декларирует, что они не представляют никакие геополитические интересы и их единственная цель – финансовая прибыль. Примерно в это же время серверы команды DarkSide в теневом Интернет погасили, как утверждается, с участием ФБР и других правительственных служб.

  •   12 мая Colonial Pipeline сообщает, что работы по восстановлению все еще ведутся. На ручном приводе производится продажа топлива в приоритетных областях региона (где нет альтернативного поставщика).

  •   Усилено патрулирование трубопровода, как с воздуха, так и сотрудниками СР на земле. Colonial Pipeline работает с Министерством энергетики США над «оценкой рыночных условий» и доставкой материалов туда, где они больше всего нужны. Наблюдаются изменения в цепочке поставок.

  •  13 мая информационные системы восстановлены, компании требуется время для восстановления нормальной цепочки поставки продукции.

  • 14 мая аналитическое агентство блокчейн операций Elliptic сообщило об обнаружении кошелька DarkSide и в четверг с него было выведено порядка $5 млн. Кошелек по данным Elliptic стал активным 4 марта и получил 57 платежей с 21 другого биткойн-кошелька на общую сумму 17,5 миллиона долларов. Из них прогнозируемая доля владельца может варьироваться от 10 до 25%.

9c14a832fa08162c458cd2d4c605e198.png

  • Президент США Джон Байден выступил с инициативами об усилении мер ИБ.

  •  13-14 мая группа DarkSide лишилась части теневой инфраструктуры, а также части денежных выкупов. Тем временем группа вымогателей (REvil и др.) выступила с инициативой ограничения для вымогательских группировок по выбору целей и исключению из них объектов социальной сферы и государственные организации.

Первичный вектор заражения пока официально не известен. Скорее всего это либо не закрытая уязвимость ПО, фишинговая рассылка или подбор/утечка учетных данных. За ним последовало заражение вымогательским ПО информационных систем, выполняющих бизнес-задачи (билинг, ПК и т.д.), то есть промышленные системы компании целью не являлись, что указывает на чисто вымогательский характер атаки. Руководство компании приняло решение отключить все системы для остановки дальнейшего распространения заражения.

В уменьшении последствий атаки так или иначе участвовали службы: Federal Motor Carrier Safety Administration (FMCSA), Federal Bureau of Investigation (FBI), The Cybersecurity and Infrastructure Security Agency (CISA).

Из известных технических деталей: операторы DarkSide используют во взломах инструмент F-Secure C3 – open source фреймворк, разработанный F-Secure для Red Team команд и проведения пентестов и аудитов. Через него реализуются каналы связи и эксфильтрации информации с управляющими центрами (С2), для обхода IDS, брандмауэров и защиты на эндпойнтах.

Атаки вымогательского ПО могут перерасти в социальные кризисы масштаба страны, вызвав риск устойчивости объектов инфраструктуры. Именно поэтому обеспечением надлежащего уровня информационной безопасности сегодня не могут пренебрегать предприятия ни одного сектора экономики. Помимо этого, очень важен обмен информацией внутри профессионального сообщества. Эксперты группы Angara понимая важность объединения против общей угрозы, являются членами многих экспертных организаций, применяют самые новейшие подходы в своей работе и всегда готовы делиться знаниями с участниками рынка.

Подробнее об одной из инициатив экспертов группы компаний Angara в рамках развития профессиональных сообществ, направленных на решение проблем обеспечения ИБ, вы можете узнать из выступления Директора Центра Киберустойчивости Группы компаний Angara Тимура Зиннятулина.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах