Jak firma Colonial Pipeline poradziła sobie z atakiem ransomware

Czy należy kontaktować się z władzami w przypadku ataku ransomware?

Niedawno głośno było o ataku ransomware na Colonial Pipeline — firmę, która kontroluje sieć rurociągów dostarczającą paliwo do znacznej części wschodniego wybrzeża Stanów Zjednoczonych. Mimo że szczegóły ataku nie zostały upublicznione, do mediów dotarły pewne informacje. Możemy z nich wyciągnąć między innymi taki wniosek: niezwłoczne informowanie organów ścigania może zmniejszyć rozmiar szkód. Oczywiście nie każdy ma wybór — w niektórych państwach ofiary są zobowiązane do informowania organów regulacyjnych. Jednak nawet jeśli nie jest to wymagane, taki ruch może okazać się przydatny.

Atak

7 maja oprogramowanie ransomware zaatakowało firmę Colonial Pipeline, która obsługuje największy rurociąg odpowiedzialny za przesył paliwa na wschodnim wybrzeżu Stanów Zjednoczonych. Pracownicy musieli przełączyć część systemów informatycznych w tryb offline, po części dlatego, że niektóre komputery zostały szyfrowane, a po części aby zapobiec rozprzestrzenianiu się zakażenia. Spowodowało to opóźnienia w dostawach paliwa wzdłuż Wybrzeża Wschodniego, co z kolei doprowadziło do 4% wzrost kontraktów terminowych na benzynę. Aby złagodzić szkody, firma planuje zwiększyć dostawy paliwa.

Firma kontynuuje przywracanie swoich systemów, ale według źródeł na blogu Zero Day problem leży nie tyle w sieci usług, co w systemie rozliczeniowym.

Blokada federalna

Dziś operatorzy ransomware nie tylko szyfrują dane i żądają okupu za ich odszyfrowanie, ale także wykradają informacje, aby zwiększyć szansę na zapłatę wymuszenia. W przypadku firmy Colonial Pipeline atakujący uzyskali około 100 GB danych z sieci firmowej.

Jednak według Washington Post zewnętrzni analitycy incydentów szybko zorientowali się, co się stało i gdzie skradziono dane, a następnie skontaktowali się z FBI. Z kolei władze federalne zwróciły się do właściciela serwera, na którym znajdowały się przesłane informacje, i odizolowały go. W rezultacie cyberprzestępcy utracili dostęp do informacji, które ukradli od Colonial Pipeline, co przynajmniej częściowo złagodziło szkody.

Chociaż główne rurociągi firmy nie zostały przywrócone do trybu online, szkody mogły być znacznie większe.

Przypisanie ataku

Wygląda na to, że firma została zaatakowana przy użyciu ransomware DarkSide, które może działać zarówno w systemie Windows, jak i Linux. Produkty marki Kaspersky wykrywają to złośliwe oprogramowanie jako Trojan-Ransom.Win32.Darkside i Trojan-Ransom.Linux.Darkside. DarkSide wykorzystuje silne algorytmy szyfrowania, uniemożliwiające przywrócenie danych bez odpowiedniego klucza.

Działalność prowadzona przez ugrupowanie DarkSide przypomina dostawcę usług internetowych: oferuje ono dział pomocy technicznej, dział kontaktów z mediami i centrum prasowe. Notatka opublikowana na własnej stronie internetowej informuje, że atak miał motywację finansową, a nie polityczną.

Grupa DarkSide działa w modelu ransomware-as-a-service, dostarczając oprogramowanie i infrastrukturę powiązaną partnerom, którzy przeprowadzają ataki. Jeden z takich partnerów przeprowadził atak na organizację Colonial Pipeline. Ugrupowanie DarkSide poinformowało, że jego celem nie było wywoływanie tak poważnych konsekwencji społecznych, i odtąd będzie baczniej przyglądać się, jakie ofiary wybierają ich „pośrednicy”. Jednak trudno jest poważnie traktować taką zapowiedź.

Jak zachować bezpieczeństwo

Aby chronić swoją firmę przed oprogramowaniem wymuszającym okup, nasi eksperci zalecają przestrzeganie następujących zasad:

  • Zablokuj niepotrzebne połączenia z usługami pulpitu zdalnego (takimi jak RDP) z sieci publicznych i zawsze chroń je za pomocą silnych haseł.
  • Instaluj wszystkie dostępne poprawki dla rozwiązań VPN, których pracownicy zdalni używają do łączenia się z siecią firmową.
  • Aktualizuj programy na wszystkich urządzeniach łączących się z internetem, aby zapobiec wykorzystywaniu luk w zabezpieczeniach.
  • Strategię obrony zorientuj na wykrywanie ruchu bocznego i eksfiltracji danych, ze szczególnym uwzględnieniem całego ruchu wychodzącego.
  • Regularnie twórz kopie zapasowe danych i upewnij się, że w nagłych wypadkach masz do nich łatwy dostęp.
  • Wykorzystuj dane analizy zagrożeń, aby być na bieżąco z taktykami, technikami i procedurami ataku.
  • Korzystaj z rozwiązań zabezpieczających, takich jak Kaspersky Endpoint Detection and Response oraz Kaspersky Managed Detection and Response, które pomagają zatrzymać ataki na wczesnym etapie.
  • Zorganizuj szkolenia dla pracowników, aby potrafili skutecznie chronić środowisko korporacyjne.
  • Stosuj niezawodne rozwiązanie do ochrony punktów końcowych, które chroni przed exploitami i wykrywa nietypowe zachowanie, a także potrafi wycofać szkodliwe zmiany i przywrócić działanie systemu.

Incydent, jaki dotknął firmę Colonial Pipeline, pokazuje, że warto szybko skontaktować się z organami prawnymi. Oczywiście nie ma gwarancji, że będą one w stanie pomóc, ale być może zminimalizujesz w ten sposób szkody.

Porady