Перейти к содержанию

Последствия атаки шифровальщика DarkSide на Colonial Pipeline

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Один из самых резонансных инцидентов с вымогателями-шифровальщиками за последнее время — недавняя атака на Colonial Pipeline, компанию, снабжающую топливом изрядную часть восточного побережья США. Детали этой атаки по понятным причинам не разглашаются, однако обрывки информации просачиваются в СМИ — и из этой информации можно извлечь как минимум один урок: если своевременно обратиться в правоохранительные органы, есть шанс уменьшить ущерб от атаки. Разумеется, выбор есть не у всех — в некоторых странах жертва обязана проинформировать регулятора. Однако даже там, где это необязательно, такое обращение может оказаться небесполезным.

Чем может помочь обращение к властям

Современные вымогатели не только шифруют данные и требуют выкуп за расшифровку, но и воруют информацию из корпоративной сети, чтобы шантажировать еще и их публикацией. Именно так поступили преступники в случае с Colonial Pipeline — злоумышленники выкачали порядка 100 гигабайт данных из сети компании.

Однако, по информации Washington Post, внешние эксперты, проводящие расследование инцидента, быстро разобрались в случившемся, выяснили, куда были скопированы похищенные данные, и связались с ФБР. Федералы, в свою очередь, обратились к провайдеру, на сервер которого была загружена эта информация, и добились изоляции сервера. В результате киберпреступники могли лишиться доступа к серверу с похищенной у Colonial Pipeline информацией, а сама Colonial Pipleine таким образом, возможно, смогла смягчить последствия утечки.

Разумеется, это не отменяет того факта, что основные трубопроводы Colonial Pipeline до сих пор не работают. Ущерб нанесен немалый, однако очевидно, что если бы данные остались в руках преступников, то он мог бы быть еще большим.

Что произошло в Colonial Pipeline, и каковы последствия инцидента

В пятницу 7 мая компания Colonial Pipeline, поддерживающая крупнейший на восточном побережье США трубопровод для передачи топлива, подверглась атаке шифровальщика. Сотрудники компании были вынуждены приостановить работу информационных систем, частично из-за того, что некоторые компьютеры были зашифрованы, а частично — чтобы предотвратить распространение заразы. Это вызвало задержки в поставках топлива по восточному побережью и привело к тому, что фьючерсы на бензин выросли на 4%. Для смягчения ущерба даже планируется увеличение поставок горючего при помощи автоцистерн.

Компания продолжает восстановление своих систем, но, по информации источников блога Zero Day, проблема может быть не столько в технологических сетях, сколько в системе биллинга. Пока она не будет восстановлена, Colonial Pipeline не сможет автоматически выставлять счета своим клиентам.

Кто атаковал Colonial Pipeline

По всей видимости, компания была атакована при помощи вредоносного ПО DarkSide. Шифровальщики DarkSide могут работать как под Windows, так и под Linux (продукты Kaspersky детектируют его как Trojan-Ransom.Win32.Darkside and Trojan-Ransom.Linux.Darkside). В них используются надежные алгоритмы шифрования, так что вернуть данные без ключа возможным не представляется.

Злоумышленники, стоящие за DarkSide, выкладывают похищенные данные на площадке DarkSide Leaks в даркнете. Недавно мы писали о том, что эта группировка со стороны выглядит как полноценный провайдер онлайн-сервиса — со службой техподдержки, пиар-отделом и пресс-центром. На сайте злоумышленников незамедлительно появился дисклеймер о том, что они не преследуют политических целей, а просто пытаются заработать денег.

Реакция DarkSide на публикации в прессе

DarkSide работает по системе Ransomware-as-a-service — предлагают свое ПО и сопутствующую инфраструктуру, а непосредственно атаки совершают их партнеры, которые самостоятельно ищут пути распространения зловреда. За выбор Colonial Pipeline в качестве цели как раз и был ответственен один из таких партнеров. По словам преступников из Darkside, они не хотели столь серьезных социальных последствий атаки и впредь будут тщательнее изучать жертв, намечаемых «посредниками». Впрочем, не факт, что это утверждение правдиво — весьма вероятно, что это очередной пиар-трюк вымогателей.

Как защититься от атак шифровальщиков

Чтобы обезопасить вашу компанию от атак с использованием программ-вымогателей, специалисты «Лаборатории Касперского» рекомендуют:

  • Запретить подключаться к службам удаленного рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьезной необходимости, и всегда использовать надежные пароли для таких служб.
  • Оперативно устанавливать доступные исправления для коммерческих VPN-решений, обеспечивающих подключение удаленных сотрудников и выступающих в качестве шлюзов в вашей сети.
  • Всегда обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей.
  • Сосредоточить стратегию защиты на обнаружении горизонтальных перемещений и эксфильтрации данных в Интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников.
  • Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации вы можете быстро получить доступ к бэкапу.
  • Использовать актуальные данные Threat Intelligence, чтобы оставаться в курсе современных тактик, техник и процедур (TTP), используемых злоумышленниками.
  • Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response.
  • Обучать и инструктировать своих сотрудников по вопросам обеспечения безопасности корпоративной среды. В этом могут помочь специализированные курсы, которые можно найти, например, на платформе Kaspersky Automated Security Awareness Platform.
  • Использовать надежное решение для защиты рабочих мест, такое как Kaspersky Endpoint Security для бизнеса, в котором реализован механизм противодействия эксплойтам, а также функции обнаружения аномального поведения и восстановления системы, позволяющие выполнить откат в случае вредоносных действий.

Ну и, как показывает пример с Colonial Pipeline, имеет смысл обращаться за помощью к правоохранительным органам, причем чем раньше, тем лучше. Гарантий это, конечно, не дает, но иногда позволяет значительно уменьшить возможный ущерб.

View the full article

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Атака BadCam — перепрошивка без отключения | Блог Касперского
      Автор KL FC Bot
      Подключенную к компьютеру веб-камеру обычно подозревают в подглядывании, но теперь ей придумали роль в традиционных кибератаках. На конференции Black Hat описали атаку BadCam, которая позволяет перепрошить камеру, а затем выполнять на компьютере, к которому она подключена, вредоносные действия. По сути это вариант давно известной атаки типа BadUSB, однако главное отличие BadCam заключается в том, что атакующим необязательно заранее готовить вредоносное устройство — они могут использовать изначально «чистую» и уже подключенную к компьютеру камеру. Еще одно неприятное новшество — атака может быть произведена полностью дистанционно. Хотя исследование провели этичные хакеры и BadCam еще не используется в реальных атаках, злоумышленникам будет несложно разобраться в ней и воспроизвести нужные действия. Поэтому организациям стоит понять механику BadCam и принять защитные меры.
      Возвращение BadUSB
      Атаку BadUSВ тоже представили на Black Hat, правда в 2014 году. Ее суть в том, что безобидное на вид устройство, например USB-накопитель, перепрограммируют, дополняя его прошивку. При подключении к компьютеру этот вредоносный гаджет «представляется» составным USB-устройством, имеющим несколько компонентов, таких как USB-накопитель, клавиатура или сетевой адаптер. Функции накопителя продолжают исправно работать, пользователь работает с флешкой как обычно. Одновременно скрытая часть прошивки, имитирующая клавиатуру, отправляет на компьютер команды, например клавиатурную комбинацию для запуска PowerShell и последующего ввода команд для загрузки из Сети вредоносных файлов или запуска туннеля к серверу атакующих. Функции BadUSB часто используют в работе современных red team, для этого обычно применяются специализированные «хакерские мультитулы» вроде Hak5 Rubber Ducky или Flipper Zero.
       
      View the full article
    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KL FC Bot
      Фишинговая атака на разработчиков PyPi и AMO | Блог Касперского
      Автор KL FC Bot
      С разницей буквально в несколько дней команда, поддерживающая Python Package Index (каталог программного обеспечения, написанного на Python) и Mozilla (организация, стоящая за разработкой браузера Firefox), выпустили крайне похожие предупреждения о фишинговых атаках. Неизвестные злоумышленники пытаются заманить Python-разработчиков, использующих PyPi и создателей плагинов для Firefox, имеющих аккаунты addons.mozilla.org, на фальшивые сайты площадок, с целью выманить их учетные данные. В связи с чем мы рекомендуем разработчиков ПО с открытым исходным кодом (не только пользователей PyPi и AMO) быть особенно внимательными при переходе по ссылкам из писем.
      Эти две атаки не обязательно связаны между собой (все-таки методы у фишеров несколько различаются). Однако вместе они демонстрируют повышенный интерес киберпреступников к репозиториям кода и магазинам приложений. Вероятнее всего, их конечная цель — организация атак на цепочку поставок, или перепродажа учетных данных другим преступникам, которые смогут организовать такую атаку. Ведь получив доступ к аккаунту разработчика, злоумышленники могут внедрить вредоносный код в пакеты или плагины.
      Детали фишинговой атаки на разработчиков PyPi
      Фишинговые письма, адресованные пользователям Python Package Index, рассылаются по адресам, указанным в метаданных пакетов, опубликованных на сайте. В заголовке находится фраза [PyPI] Email verification. Письма отправлены с адресов на домене @pypj.org, который всего на одну букву отличается от реального домена каталога — @pypi.org, то есть используют строчную j вместо строчной i.
      В письме говорится, что разработчикам необходимо подтвердить адрес электронной почты, для чего следует перейти по ссылке на сайт, имитирующий дизайн легитимного PyPi. Интересно, что фишинговый сайт не только собирает учетные данные жертв, но и передает их на реальный сайт каталога, так что после завершения «верификации» жертва оказывается на легитимном сайте и зачастую даже не понимает, что у нее только что похитили учетные данные.
      Команда, поддерживающая Python Package Index, рекомендует всем кликнувшим на ссылку из письма немедленно сменить пароль, а также проверить раздел Security History в своем личном кабинете.
       
      View the full article
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
×
×
  • Создать...