У США ввели надзвичайний стан через кібератаку на найбільший бензопровід Colonial

Уряд США в неділю ввів надзвичайний стан після того, як найбільший паливопровід в США піддався кібератаці з використанням програм-вимагачів.

Про це повідомляє британська телерадіокомпанія BBC.

По трубопроводу Colonial проходить 2,5 мільйона барелів на день, що становить 45% поставок дизельного палива, бензину і авіагасу на Східне узбережжя.

У п’ятницю робота трубопроводу була повністю припинена злочинним кіберугрупованням і наразі все ще ведуться відновлювальні роботи.

Зараз паливо доставляється тільки автомобільним транспортом.

Через кібератаки 18 штатів залишилися без палива, це: Алабама, Арканзас, Округ Колумбія, Делавер, Флорида, Джорджія, Кентуккі, Луїзіана, Меріленд, Міссісіпі, Нью-Джерсі, Нью-Йорк, Північна Кароліна, Пенсільванія, Південна Кароліна, Теннессі, Техас і Вірджинія.

Експерти кажуть, що в понеділок ціни на пальне, ймовірно, виростуть на 2-3%, але наслідки будуть набагато гірше, якщо відновлювальні роботи затягнуться.

Незалежний аналітик нафтового ринку Гаурав Шарма повідомив BBC, що на нафтопереробних заводах в Техасі поки є багато палива.

“Якщо вони не розберуться у вівторок, у них будуть великі проблеми. Першими регіонами, яких це торкнеться, будуть Атланта і Теннессі, потім ефект доміно досягне Нью-Йорка”, – сказав аналітик.

Він сказав, що трейдери нафтових ф’ючерсів зараз “щосили намагаються задовольнити попит у той час, коли запаси в США скорочуються, а попит – особливо на автомобільне паливо – росте”.

Численні джерела підтвердили, що за атакою стоїть кіберзлочинне угруповання DarkSide, яке проникло в мережу Colonial і “взяла в заручники” майже 100 ГБ даних.

Хакери заблокували роботу деяких комп’ютерів і серверів, зажадавши викуп. Якщо вони не отримають викуп, дані зіллють у мережу.

DarkSide не є найбільшим угрупованням кібервимагачів, але такий інцидент говорить про зростання ризику, який вимагачі представляють для критично важливою національної промислової інфраструктури. В результаті зламу на комп’ютерах жертв з’являється повідомлення про те, що їхні комп’ютери і сервери зашифровані.

Група перераховує всі типи вкрадених даних і відправляє жертвам URL-адресу “особистої сторінки витоку”, де дані вже завантажені і очікують автоматичної публікації, якщо компанія або організація не заплатять викуп до певного терміну.

Згідно Digital Shadows, лондонській фірмі з кібербезпеки, яка відстежує глобальні кіберзлочинністю групи, DarkSide працює як бізнес.

Банда розробляє програмне забезпечення, що використовується для шифрування і крадіжки даних, потім навчає “афілійованих осіб”, які отримують інструментарій, що містить програмне забезпечення, шаблон електронного листа із запитом вимагача.

Потім кіберзлочинці-партнери виплачують DarkSide відсоток від своїх “доходів”.

У банди навіть є веб-сайт у даркнеті, де вона детально хвалиться своєю роботою, перераховуючи всі компанії, які вона зламала і що було вкрадено, а також сторінку “етики”, де йдеться про те, які організації вона не буде атакувати.

Як відбувається атака?

Digital Shadows вважає, що кібератака на Colonial Pipeline сталася через пандемію коронавірусу – збільшення кількості інженерів, які отримують віддалений доступ до систем управління трубопроводом з дому.

Джеймс Чаппелль, співзасновник і директор з інновацій Digital Shadows, вважає, що DarkSide купила дані для входу в обліковий запис, що відноситься до програми віддаленого доступу, наприклад TeamViewer і Microsoft Remote Desktop. Він каже, що будь-хто може знайти портали входу в систему для комп’ютерів, підключених до Інтернету, в пошукових системах, таких як Shodan.

Чаппелль додав, що кіберзлочинне угруповання швидше за все базується в російськомовній країні, оскільки, схоже, вона уникає атак на компанії в Співдружності Незалежних Держав (СНД) – організація з країн Росії, Білорусі, Грузії, Вірменії, Молдови, Азербайджану, Казахстану, Киргизстану, Таджикистану, Туркменістану та Узбекистану.

Джерело