Atak ransomware na operatora rurociągu w USA. Tworzą się kolejki na stacje benzynowe, w kolejnych stanach zostaje ogłoszony stan wyjątkowy…

Zacznijmy od tego, ze już w lutym 2020 roku amerykańska agencja CISA opublikowała na swoich stronach ostrzeżenie o możliwych atakach ransomware na operatorów rurociągów przesyłowych. Nie podano wtedy szczegółów ataku, jednak firma Dragos sugerowała, że ma to bezpośredni związek z atakiem na jednego z operatorów rurociągu gazu ziemnego, do którego faktycznie doszło w 2019 roku. Atak z 2019 roku został opisany w biuletynie amerykańskiej marynarki wojennej i wskazano w nim, że chodzi o ransomware’a Ryuk. 

Once the embedded malicious link in the email was clicked by an employee, the ransomware allowed for a threat actor to access significant enterprise Information Technology (IT) network files, and encrypt them, preventing the facility’s access to critical files. The virus further burrowed into the industrial control systems that monitor and control cargo transfer and encrypted files critical to process operations. The impacts to the facility included a disruption of the entire corporate IT network (beyond the footprint of the facility), disruption of camera and physical access control systems, and loss of critical process control monitoring systems. These combined effects required the company to shut down the primary operations of the facility for over 30 hours while a cyber-incident response was conducted.

• Opis incydentu z biuletynu US Coast Guard

Obecnie, od prawie tygodnia, Colonial Pipeline – kolejny amerykański operator rurociągu przesyłowego – objęty jest incydentem wynikającym z ataku ransomware’a. W zależności od źródeł, jako pierwszy dzień incydentu podawany jest ub. czwartek (6.05), ponieważ wtedy miało dojść do wycieku, albo piątek (7.05), tego dnia Colonial zorientował się, że dane zostały zaszyfrowane. FBI przypisuje atak grupie DarkSide.

Jak podaje Bloomberg, powołując się na źródła śledczych, DarkSide miał wykraść ok. 100 gigabajtów danych w przeciągu 2 godzin, a następnie zaszyfrować część biurową firmy, nie naruszając sieci i systemów związanych bezpośrednio z infrastrukturą przemysłową, służącą do przesyłu paliwa. 

Colonial w ramach strategii powstrzymania incydentu i niedopuszczenia do uszkodzenia systemów przemysłowych, wyłączył te systemy i tym samym wstrzymał dostawy surowca do odbiorców na całym wschodnim wybrzeżu Stanów Zjednoczonych. Colonial od 5 dni nie dostarcza paliwa do żadnego odbiorcy. Skutki tej decyzji Coloniala są dotkliwe dla amerykańskiej gospodarki. BBC informuje, że odbiorcy detaliczni mają poważne problemy z zakupem paliwa. W związku z następstwem incydentu, jakim jest wstrzymanie dostaw paliwa, w Karolinie Północnej, władze stanowe ogłosiły stan wyjątkowy. Rząd Stanów Zjednoczonych podejmuje wszelkie możliwe działania, w tym powołano międzyagencyjny sztab kryzysowy, który ma pomóc  ograniczyć negatywny wpływ incydentu na wszystkich poszkodowanych.

In response to the Colonial Pipeline cyberattack, the White House has convened an interagency response group consisting of the Department of Justice (including the FBI), the Department of Homeland Security (DHS) including the Cybersecurity and Infrastructure Security Agency (CISA), the Department of Energy (DOE), the Department of Defense (DOD), the Department of Transportation (DOT), the Department of the Treasury, the Federal Energy Regulatory Commission, the Environmental Protection Agency (EPA), and the White House Office of Management and Budget. The group regularly meets to assess the attack’s impacts on fuel supply and U.S. energy markets, and assess policy options. As part of the working group, and at the White House’s request, DOE’s Office of Cybersecurity, Energy Security, and Emergency Response and the U.S. Energy Information Administration have conducted thorough analysis of potential impacts of the shutdown and assessed various options for mitigating those effects, including moving supplies by trucks or marine vessels. DOE, the FBI, and other working group members are working directly with the pipeline operator to provide any assistance they need to safely restart operation.

• Fragment oświadczenia Białego Domu

Niestety, na poziomie operacyjnym sprawy są bardziej skomplikowane. Jak wyjaśnia w wywiadzie dla “Politico” dyrektor CISA, ani Colonial Pipeline, ani FireEye, który z ramienia Colonial obsługuje ten incydent, nie udostępnia rządowej agencji żadnych istotnych technicznych szczegółów ataku.

Po ataku na Colonial Pipeline DarkSide oświadczył, że będzie rozważniej targetował ofiary.

From today we introduce moderation and check each company that our partners want to encrypt to avoid social consequences in the future.

• Oświadczenie Darkside

–wa