Colonial Pipeline a restabilit joi operațiunile la întregul său sistem de conducte la aproape o săptămână după ce o infecție ransomware a vizat sistemele IT, obligându-l să raporteze aproape 5 milioane de dolari pentru a restabili controlul rețelelor computerului său.

„După această repornire, vor dura câteva zile până când lanțul de aprovizionare cu livrarea produselor va reveni la normal”, a declarat compania într-un comunicat joi seară. „Unele piețe deservite de Colonial Pipeline pot experimenta sau vor continua să experimenteze întreruperi intermitente ale serviciului în această perioadă inițială. Colonialii vor muta cât mai mult benzină, motorină și combustibil pentru avioane în condiții de siguranță și vor continua să facă acest lucru până când piețele vor reveni la normal.”

Cu toate acestea, site-ul oficial al companiei a fost dezactivat deoarece scria cu un mesaj de acces refuzat „Această cerere a fost blocată de regulile de securitate”.

auditor de parole

Bloomberg, citând „doi oameni familiarizați cu tranzacția”, a declarat că compania a efectuat plata în câteva ore de la atacul ransomware DarkSide pentru a obține un decriptor, care s-a dovedit atât de lent încât Colonial a folosit în schimb propriile backup-uri pentru a recupera sistemele care au devenit inoperante prin ransomware . Insurance Insider a raportat la începutul acestei săptămâni că operatorul de conducte avea o acoperire de asigurare cibernetică de aproximativ 15 milioane de dolari.

Agenția americană de securitate cibernetică și infrastructură (CISA) nu este de acord să plătească răscumpărări actorilor criminali, întrucât acest lucru poate încuraja oponenții să vizeze mai multe organizații și să încurajeze alți infractori cibernetici să se angajeze în distribuirea de ransomware. Dar entitățile afectate au ales adesea să țină cont de cererile atacatorilor, deoarece este cel mai rapid mod de a reveni la muncă și de a preveni riscul expunerii la date.

O anchetă ProPublica din 2019 a dezvăluit modul în care companiile de asigurări încurajează creșterea amenințărilor de ransomware acoperind costurile reduse printr-o reducere, care este de obicei mult mai mică decât răscumpărarea cerută de atacatori.

„Actorii de amenințare au devenit mai competenți în efectuarea operațiunilor de extorsiune cu mai multe fațete și că acest succes a contribuit direct la creșterea rapidă a numărului de incidente de ransomware cu impact ridicat în ultimii ani”, a declarat firma de securitate cibernetică FireEye, al cărei Mandiant filiala conduce eforturile de răspuns la incidente. „Operatorii de răscumpărare au încorporat tactici suplimentare de extorcare concepute pentru a crește probabilitatea ca victimele să fie de acord să plătească prețuri de răscumpărare”.

Echipa companiei de informații privind amenințările urmărește cinci clustere de activitate asociate cu implementarea DarkSide – inclusiv UNC2628, UNC2659 și UNC2465 – dintre care unele sunt active din cel puțin aprilie 2019.

DarkSide, promovat de un jucător de limbă rusă numit „darksupp” pe forumurile în limba rusă exploit.in și xss.is, funcționează ca o ținută de ransomware-as-a-service (RaaS), creatorii săi reducând cu 25% plăți de răscumpărare sub 500.000 USD, o taxă care scade la 10% pentru plăți mai mari de 5 milioane USD, pe FireEye.

În urma atacului Colonial Pipeline, operatorii de ransomware DarkSide au emis o declarație pe site-ul lor de extorsiune pe web întunecat, promițând că vor verifica companiile afiliate pe care le vizează pentru a „evita consecințele sociale în viitor”. În plus, xss.is a anunțat astăzi o interdicție unilaterală a promoțiilor de ransomware pe forumul darknet privind criminalitatea informatică, probabil într-un efort de a evita atenția nedorită.

„Ransomware-ul a devenit politic”, este un administrator al xss.is. el a spus într-o locație dezvăluită de Yelisey Boguslavskiy de la Advanced Intel. „Peskov (secretarul de presă al lui Putin) este obligat să le ofere scuze„ prietenilor ”noștri străini … Acum este echivalent cu lucruri neplăcute – geopolitică, extorcare, piraterie guvernamentală. Acest cuvânt a devenit periculos și toxic.”

„Parteneriatele RaaS conduc la înființarea unei economii organice masive centrate în jurul forumurilor celor mai buni ruși”, a remarcat Boguslavskiy. „Acum, această economie ar putea fi complet perturbată”.

Recentul val de atacuri cibernetice care vizează SolarWinds, Microsoft Exchange și Colonial Pipeline a condus, de asemenea, guvernul SUA să ia măsuri pentru a sprijini apărarea „protejând rețelele federale, îmbunătățind schimbul de informații între guvernul SUA și sectorul privat cu privire la problemele cibernetice, și consolidarea capacității SUA de a răspunde la incidente atunci când apar. „

Ti s-a parut interesant acest articol? Urmăriți THN pe Facebook, Stare de nervozitate și LinkedIn pentru a citi mai multe conținuturi exclusive pe care le-am creat.