Перейти к содержанию

Последствия атаки шифровальщика DarkSide на Colonial Pipeline


Рекомендуемые сообщения

Один из самых резонансных инцидентов с вымогателями-шифровальщиками за последнее время — недавняя атака на Colonial Pipeline, компанию, снабжающую топливом изрядную часть восточного побережья США. Детали этой атаки по понятным причинам не разглашаются, однако обрывки информации просачиваются в СМИ — и из этой информации можно извлечь как минимум один урок: если своевременно обратиться в правоохранительные органы, есть шанс уменьшить ущерб от атаки. Разумеется, выбор есть не у всех — в некоторых странах жертва обязана проинформировать регулятора. Однако даже там, где это необязательно, такое обращение может оказаться небесполезным.

Чем может помочь обращение к властям

Современные вымогатели не только шифруют данные и требуют выкуп за расшифровку, но и воруют информацию из корпоративной сети, чтобы шантажировать еще и их публикацией. Именно так поступили преступники в случае с Colonial Pipeline — злоумышленники выкачали порядка 100 гигабайт данных из сети компании.

Однако, по информации Washington Post, внешние эксперты, проводящие расследование инцидента, быстро разобрались в случившемся, выяснили, куда были скопированы похищенные данные, и связались с ФБР. Федералы, в свою очередь, обратились к провайдеру, на сервер которого была загружена эта информация, и добились изоляции сервера. В результате киберпреступники могли лишиться доступа к серверу с похищенной у Colonial Pipeline информацией, а сама Colonial Pipleine таким образом, возможно, смогла смягчить последствия утечки.

Разумеется, это не отменяет того факта, что основные трубопроводы Colonial Pipeline до сих пор не работают. Ущерб нанесен немалый, однако очевидно, что если бы данные остались в руках преступников, то он мог бы быть еще большим.

Что произошло в Colonial Pipeline, и каковы последствия инцидента

В пятницу 7 мая компания Colonial Pipeline, поддерживающая крупнейший на восточном побережье США трубопровод для передачи топлива, подверглась атаке шифровальщика. Сотрудники компании были вынуждены приостановить работу информационных систем, частично из-за того, что некоторые компьютеры были зашифрованы, а частично — чтобы предотвратить распространение заразы. Это вызвало задержки в поставках топлива по восточному побережью и привело к тому, что фьючерсы на бензин выросли на 4%. Для смягчения ущерба даже планируется увеличение поставок горючего при помощи автоцистерн.

Компания продолжает восстановление своих систем, но, по информации источников блога Zero Day, проблема может быть не столько в технологических сетях, сколько в системе биллинга. Пока она не будет восстановлена, Colonial Pipeline не сможет автоматически выставлять счета своим клиентам.

Кто атаковал Colonial Pipeline

По всей видимости, компания была атакована при помощи вредоносного ПО DarkSide. Шифровальщики DarkSide могут работать как под Windows, так и под Linux (продукты Kaspersky детектируют его как Trojan-Ransom.Win32.Darkside and Trojan-Ransom.Linux.Darkside). В них используются надежные алгоритмы шифрования, так что вернуть данные без ключа возможным не представляется.

Злоумышленники, стоящие за DarkSide, выкладывают похищенные данные на площадке DarkSide Leaks в даркнете. Недавно мы писали о том, что эта группировка со стороны выглядит как полноценный провайдер онлайн-сервиса — со службой техподдержки, пиар-отделом и пресс-центром. На сайте злоумышленников незамедлительно появился дисклеймер о том, что они не преследуют политических целей, а просто пытаются заработать денег.

Реакция DarkSide на публикации в прессе

DarkSide работает по системе Ransomware-as-a-service — предлагают свое ПО и сопутствующую инфраструктуру, а непосредственно атаки совершают их партнеры, которые самостоятельно ищут пути распространения зловреда. За выбор Colonial Pipeline в качестве цели как раз и был ответственен один из таких партнеров. По словам преступников из Darkside, они не хотели столь серьезных социальных последствий атаки и впредь будут тщательнее изучать жертв, намечаемых «посредниками». Впрочем, не факт, что это утверждение правдиво — весьма вероятно, что это очередной пиар-трюк вымогателей.

Как защититься от атак шифровальщиков

Чтобы обезопасить вашу компанию от атак с использованием программ-вымогателей, специалисты «Лаборатории Касперского» рекомендуют:

  • Запретить подключаться к службам удаленного рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьезной необходимости, и всегда использовать надежные пароли для таких служб.
  • Оперативно устанавливать доступные исправления для коммерческих VPN-решений, обеспечивающих подключение удаленных сотрудников и выступающих в качестве шлюзов в вашей сети.
  • Всегда обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей.
  • Сосредоточить стратегию защиты на обнаружении горизонтальных перемещений и эксфильтрации данных в Интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников.
  • Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации вы можете быстро получить доступ к бэкапу.
  • Использовать актуальные данные Threat Intelligence, чтобы оставаться в курсе современных тактик, техник и процедур (TTP), используемых злоумышленниками.
  • Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response.
  • Обучать и инструктировать своих сотрудников по вопросам обеспечения безопасности корпоративной среды. В этом могут помочь специализированные курсы, которые можно найти, например, на платформе Kaspersky Automated Security Awareness Platform.
  • Использовать надежное решение для защиты рабочих мест, такое как Kaspersky Endpoint Security для бизнеса, в котором реализован механизм противодействия эксплойтам, а также функции обнаружения аномального поведения и восстановления системы, позволяющие выполнить откат в случае вредоносных действий.

Ну и, как показывает пример с Colonial Pipeline, имеет смысл обращаться за помощью к правоохранительным органам, причем чем раньше, тем лучше. Гарантий это, конечно, не дает, но иногда позволяет значительно уменьшить возможный ущерб.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • KL FC Bot
      От KL FC Bot
      Исследователи из трех европейских университетов недавно продемонстрировали атаку BadRAM. Она стала возможна благодаря уязвимости в процессорах AMD EPYC и угрожает прежде всего поставщикам облачных решений и систем виртуализации. В наихудшем сценарии данная уязвимость может быть использована, чтобы скомпрометировать данные из максимально защищенной виртуальной машины.
      Впрочем, реализовать этот сценарий на практике будет достаточно нелегко. Атака предполагает физический доступ к серверу, а затем — максимальный уровень доступа к программному обеспечению. Однако, прежде чем обсуждать атаку BadRAM в деталях, стоит поговорить о концепции Trusted Execution Environment, или TEE.
      Особенности TEE
      Ошибки в программном обеспечении неизбежны. По разным оценкам, сделанным еще в девяностые годы прошлого века, на каждую тысячу строк кода приходится от 1 до 20 ошибок. Часть этих ошибок приводит к уязвимостям, через которые злоумышленники могут попробовать добраться до конфиденциальной информации. Поэтому в случаях, когда защищенность каких-то данных или цепочки вычислений (например, обработки секретных ключей шифрования) должна быть максимальной, имеет смысл изолировать эти данные (или вычисления) от всего остального кода. Примерно в этом и состоит концепция Trusted Execution Environment.
      Существует огромное количество реализаций TEE для решения различных задач. В процессорах AMD она реализована в виде технологии Secure Encrypted Virtualization, обеспечивающей повышенную защиту виртуальных машин. Она подразумевает шифрование данных виртуальной системы в памяти, чтобы системы других виртуальных машин или оператор физического сервера, на котором развернуты виртуальные ОС, не могли получить к ним доступ. Относительно недавно для этой технологии было выпущено расширение Secure Nested Paging, способное определить попытки несанкционированного доступа к данным виртуальной системы.
      Представьте себе сценарий, когда финансовая организация использует инфраструктуру стороннего подрядчика для работы своих виртуальных систем. На виртуальных ОС обрабатываются максимально конфиденциальные данные, и нужно обеспечить их стопроцентную безопасность. Можно предъявлять повышенные требования к подрядчику, но в некоторых случаях проще исходить из того, что ему нельзя полностью доверять.
       
      View the full article
    • ArCtic
      От ArCtic
      Здравствуйте! Помогите, пожалуйста, избавиться от  последствий вируса, который не давал запустить любую утилиту антивируса. Сам вирус уже удален, но папки от него остались. Открыть и удалить их не выходит.

      CollectionLog-2024.08.25-09.23.zip
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • KL FC Bot
      От KL FC Bot
      Крупные онлайн-сервисы купли-продажи прилагают значительные усилия по борьбе с мошенничеством, но киберпреступники постоянно изобретают все новые схемы обмана как покупателей, так и продавцов. В этом году популярность получила схема с онлайн-видеозвонком: «покупатели» просят показать им товар по видео, а на самом деле выманивают коды доступа в банк. Мошенническая схема в четырех актах.
      Акт первый. Подозрение
      К продавцу дорогостоящего или сложного товара (например, телевизора) обращается покупатель, который готов сразу же перевести оплату и максимально быстро забрать товар. Но есть нюанс — сначала он просит показать товар по видео. Функциональность большинства онлайн-барахолок не предусматривает такую возможность, а если она есть, то по «счастливой» случайности оказывается мошеннику неудобна: «Вы знаете, у меня почему-то тут не работает звонок, давайте лучше в WhatsApp?» Так разговор плавно перетекает в мессенджер. Переход в WhatsApp, Telegram или любое другое средство общения помимо официального инструмента площадки объявлений — это красный флаг. На своей территории мошенникам гораздо проще, например, заманить вас на фишинговый сайт, потому что многие онлайн-барахолки попросту не разрешают делиться в чате никакими ссылками.
       
      View the full article
×
×
  • Создать...