Кибератака, уже занявшая свое законное место в ТОП самый весомых атак 2021 года – заражение инфраструктуры Colonial Pipeline вымогательским ПО группировки DarkSide.
Что произошло и последовало:
- 7 мая компания сообщала о заражении инфраструктуры и отключила операционные сервисы, что отключило снабжение бензином в большой части восточного побережья США
-
8 мая компания перевела вымогателям $5 млн. Но операции по расшифрованию предоставленным ключом не были эффективны.
-
10 мая компания сообщила о начале работ по восстановлению систем.
-
10 мая команда DarkSide выпустила обращение, где декларирует, что они не представляют никакие геополитические интересы и их единственная цель – финансовая прибыль. Примерно в это же время серверы команды DarkSide в теневом Интернет погасили, как утверждается, с участием ФБР и других правительственных служб.
-
12 мая Colonial Pipeline сообщает, что работы по восстановлению все еще ведутся. На ручном приводе производится продажа топлива в приоритетных областях региона (где нет альтернативного поставщика).
-
Усилено патрулирование трубопровода, как с воздуха, так и сотрудниками СР на земле. Colonial Pipeline работает с Министерством энергетики США над «оценкой рыночных условий» и доставкой материалов туда, где они больше всего нужны. Наблюдаются изменения в цепочке поставок.
-
13 мая информационные системы восстановлены, компании требуется время для восстановления нормальной цепочки поставки продукции.
-
14 мая аналитическое агентство блокчейн операций Elliptic сообщило об обнаружении кошелька DarkSide и в четверг с него было выведено порядка $5 млн. Кошелек по данным Elliptic стал активным 4 марта и получил 57 платежей с 21 другого биткойн-кошелька на общую сумму 17,5 миллиона долларов. Из них прогнозируемая доля владельца может варьироваться от 10 до 25%.
-
Президент США Джон Байден выступил с инициативами об усилении мер ИБ.
-
13-14 мая группа DarkSide лишилась части теневой инфраструктуры, а также части денежных выкупов. Тем временем группа вымогателей (REvil и др.) выступила с инициативой ограничения для вымогательских группировок по выбору целей и исключению из них объектов социальной сферы и государственные организации.
Первичный вектор заражения пока официально не известен. Скорее всего это либо не закрытая уязвимость ПО, фишинговая рассылка или подбор/утечка учетных данных. За ним последовало заражение вымогательским ПО информационных систем, выполняющих бизнес-задачи (билинг, ПК и т.д.), то есть промышленные системы компании целью не являлись, что указывает на чисто вымогательский характер атаки. Руководство компании приняло решение отключить все системы для остановки дальнейшего распространения заражения.
В уменьшении последствий атаки так или иначе участвовали службы: Federal Motor Carrier Safety Administration (FMCSA), Federal Bureau of Investigation (FBI), The Cybersecurity and Infrastructure Security Agency (CISA).
Из известных технических деталей: операторы DarkSide используют во взломах инструмент F-Secure C3 – open source фреймворк, разработанный F-Secure для Red Team команд и проведения пентестов и аудитов. Через него реализуются каналы связи и эксфильтрации информации с управляющими центрами (С2), для обхода IDS, брандмауэров и защиты на эндпойнтах.
Атаки вымогательского ПО могут перерасти в социальные кризисы масштаба страны, вызвав риск устойчивости объектов инфраструктуры. Именно поэтому обеспечением надлежащего уровня информационной безопасности сегодня не могут пренебрегать предприятия ни одного сектора экономики. Помимо этого, очень важен обмен информацией внутри профессионального сообщества. Эксперты группы Angara понимая важность объединения против общей угрозы, являются членами многих экспертных организаций, применяют самые новейшие подходы в своей работе и всегда готовы делиться знаниями с участниками рынка.
Подробнее об одной из инициатив экспертов группы компаний Angara в рамках развития профессиональных сообществ, направленных на решение проблем обеспечения ИБ, вы можете узнать из выступления Директора Центра Киберустойчивости Группы компаний Angara Тимура Зиннятулина.