(Credit imagine: Kodda/Shutterstock)
Atacul ransomware asupra Colonial Pipeline, un important operator de conducte care transportă benzină și alți combustibili de pe coasta Golfului până la coasta de Est, poate ajunge să fie unul dintre cele mai importante atacuri cibernetice dezvăluite public asupra unei companii private din istorie.
Dar este aceasta prima lovitură a unui război cibernetic sau doar un act criminal? Rușii sunt implicați? Este într-adevăr ruptă conducta? Și ce fel de impact are acest lucru asupra prețurilor la gaze?
- Ce trebuie să faceți dacă sunteți infectat cu ransomware
- The cel mai bun antivirus Windows 10 software
- Oferte Cyber Monday: vezi toate cele mai bune oferte chiar acum!
- Cele mai bune mașini electrice pe care le puteți cumpăra astăzi
Iată ce știm până acum.
Ce sa întâmplat cu Colonial Pipeline?
Criptarea ransomware-ului a blocat sistemele computerizate corporative ale Colonial Pipeline, perturbând livrările de combustibil într-o mare parte a estului Statelor Unite. Colonial Pipeline a spus că sistemele care controlează livrarea combustibilului nu au fost infectate, dar le-a oprit și pe acestea ca măsură de precauție.
Miercuri după-amiaza (12 mai), a spus Colonial Pipeline că combustibilul începuse să curgă din nou.
Compania a declarat că „a inițiat reluarea operațiunilor conductei astăzi, la aproximativ 5 p.m. ET.'
uita-te la filme fast and furious
„Vor dura câteva zile pentru ca lanțul de aprovizionare cu livrarea produselor să revină la normal”, a adăugat declarația companiei. „Unele piețe deservite de Colonial Pipeline pot experimenta sau continuă să experimenteze întreruperi intermitente ale serviciului în timpul perioadei de pornire.”
Sud-estul pare să fie cel mai puternic afectat de penuria de combustibil, dintre care cel puțin o parte par să fie rezultatul achizițiilor de panică, dar Colonial livrează și o mulțime de combustibil în nord-est, împreună cu alți operatori de conducte care nu sunt afectați.
FBI și Agenția de Securitate Cibernetică și Securitate a Infrastructurii (CISA) au lansat un consultativ Marți (11 mai), revizuit miercuri (12 mai), care afirmă că „nu există niciun indiciu că rețelele de tehnologie operațională (OT) ale entității au fost afectate direct de ransomware”.
Cine a atacat Colonial Pipeline?
Un grup de criminalitate cibernetică cunoscut sub numele de Partea Întunecată a creat și a licențiat ransomware-ul, dar este posibil ca atacul real să fi fost efectuat de un „afiliat” DarkSide care lovește ținte singur.
Cât timp vor fi întrerupte livrările de combustibil?
Colonial Pipeline a declarat luni într-o declarație că are „obiectivul de a restabili în mod substanțial serviciul operațional până la sfârșitul săptămânii”, sau 14 sau 15 mai. După anunțul din 12 mai că conducta a fost repornită, acea dată pare rezonabilă. (Combustibilul curge între 3 și 5 mile pe oră și mai au sute de mile de parcurs.)
„De când sistemul nostru de conducte a fost scos offline, lucrând cu expeditorii noștri, Colonial a livrat aproximativ 967.000 de barili (~41 milioane de galoane) la diferite puncte de livrare de-a lungul sistemului nostru”, a spus compania. a spus marți târziu (11 mai). „Aceasta include livrarea pe următoarele piețe: Atlanta, Georgia, Belton și Spartanburg, S.C., Charlotte și Greensboro, N.C., Baltimore, Md. și Woodbury și Linden N.J.”.
O sursă a companiei petroliere a declarat reporterului independent de securitate a informațiilor Kim Zetter că, în timp ce conductele Colonial Pipeline funcționează bine, sistemul de „ticketing” care ține evidența cât de mult a fost livrat fiecărui client poate fi offline. Dacă da, Colonial Pipeline ar trebui să țină evidența și să factureze manual livrările.
Cum va afecta acest lucru prețurile la gaze?
Prețurile gazelor au fost ticând deja în sus ca urmare a acestui incident, dar cumpărăturile de panică pe scară largă după ce povestea a făcut știrile TV a înrăutățit lucrurile.
Contul de Twitter @GasBuddyGuy furnizează mai multe rapoarte pe zi privind prețul și disponibilitatea benzinei la nivel național. Miercuri după-amiaza (12 mai), a raportat că 68% din benzinăriile din Carolina de Nord s-au uscat, împreună cu 45% atât în Georgia, cât și în Carolina de Sud și 49% în Virginia.
Unele orașe din sud-est au avut-o cel mai rău, cu peste 70% din stații fără benzină în Charlotte, Raleigh/Durham, Pensacola și Greenville/Spartanburg și 65% în Atlanta.
Experții au dat vina penuriei pe seama achizițiilor de panică și au existat numeroase clipuri de știri TV cu cozi lungi la benzinării și oameni care umpleau cu mâna mai multe ulcioare de 5 galoane.
„Oamenii își duc întregul parc de vehicule al familiei la benzinărie și își fac dosarele atunci când nu au nevoie”, un oficial AAA. a spus CNN . „Suntem cel mai mare dușman al nostru în această situație, deoarece consumăm prea mult la pompă”.
Cu toate acestea, au existat, de asemenea, rapoarte că pur și simplu nu erau suficiente camioane cu gaz - sau șoferi de camion - disponibili pentru a satisface cererea.
Vezi mai multOamenii - stațiile s-ar putea să nu mai aibă combustibil, dar văd doar ușoare întreruperi la nivel de rack. Acest lucru pare să se transforme într-o poveste care nu este suficientă de șoferi de camion pentru a-l-ajunși acolo. 12 mai 2021
Site-ul web GasBuddy a postat o actualizare constantă decalarea de la stat a disponibilității gazelor , si este GasBuddy tracker vă va ajuta să găsiți stații cu benzină în zona dvs.
cele mai bune jocuri pentru xbox one
Luni, a spus AAA că prețul mediu pe galon la nivel național a crescut cu 6 cenți în săptămâna precedentă, până la 2,96 USD, deși aceste date au fost probabil culese înainte ca vestea atacului asupra Colonial Pipeline să poată fi simțită pe deplin.
Miercuri, AAA sondaj zilnic al prețurilor la gaze a împins media la 3,008 dolari, în creștere de la 2,985 dolari cu o zi înainte. Sud-estul, zona cea mai afectată de oprirea conductei coloniale și de cumpărarea în panică, a avut în continuare cele mai mici prețuri, în conformitate cu tendințele istorice.
AAA le-a recomandat șoferilor îngrijorați să rămână fără benzină să încerce să evite orele cu trafic intens, să își facă toate sarcinile într-o singură călătorie, să scoată obiectele grele din mașini și să coboare geamurile în loc să folosească aerul condiționat.
Vezi mai multÎntreruperi de benzină în funcție de stat, procent din toate stațiile fără benzină, începând cu ora 15 CT:AL 7%DC 12%DE 2%FL 14%GA 45%KY 2%LA 0%MD 13%MS 6%NC 68%NJ 1% SC 45%TN 18%TX 0%VA 49%WV 5% 12 mai 2021
Acest atac ransomware va duce la lipsa de combustibil?
Asta se întâmplă deja în sud-est, unde a fost cumpărarea în panică a benzinei . Unele regiuni au Colonial Pipeline ca furnizor principal de combustibil și au existat multe rapoarte despre unele benzinării care se usucă. Contul de Twitter GasBuddyGuy a raportat că 20% din benzinăriile din Atlanta erau deja goale până marți după-amiază.
Camioanele pe distanțe lungi compensează o parte din deficit prin transportul de benzină în camioane-cisternă în orașele din sud-est. Nord-estul nu înregistrează circulații larg răspândite la benzinării și ar putea fi capabil să obțină combustibil transportat cu un petrolier din Europa. Există stocuri de combustibil în nord-est, dar s-ar putea să nu dețină suficient combustibil pentru a satisface cererea.
Unii distribuitori de combustibil din ambele zone își iau combustibilul de la alți operatori de conducte și nu vor fi afectați.
Când a fost descoperit atacul asupra conductei coloniale?
Conducta colonială a spus a descoperit atacul ransomware vineri, 7 mai. Și-a închis conducta principală care mergea pe Coasta Golfului și Coasta de Est în acea seară.
Când a avut loc atacul ransomware asupra Colonial Pipeline?
Surse nenumite au spus Știri Bloomberg că atacul a început joi, 6 mai și a dus la furtul a 100 GB de date Colonial Pipeline în aproximativ două ore.
Ce este un afiliat ransomware?
Afacerea ransomware funcționează un pic ca industria de software legitimă. Anumite grupuri pot dezvolta și distribui ransomware și apoi pot vinde licențe altor infractori, care plătesc o taxă plus uneori o reducere a sumei către dezvoltatorii originali de ransomware. Acesta este adesea numit ransomware-as-a-service (RaaS).
Licențiații sau „afiliații” sunt adesea cei care atacă țintele, independent de grupurile care dezvoltă ransomware-ul. Nu este sigur ce s-a întâmplat în acest caz.
Marți, FireEye, compania care a fost adusă pentru a ajuta Colonial Pipeline să se recupereze după atacul cibernetic, a lansat un analiza detaliată a programului de afiliere DarkSide .
Afiliații potențiali trebuie să fie intervievați mai întâi, iar dacă trec, au apoi acces la a Interfață de administrare Darkside care gestionează malware-ul, ține evidența plăților de răscumpărare, furnizează statistici și le permite afiliaților să contacteze serviciul de asistență pentru clienți DarkSide.
Afiliații DarkSide plătesc furnizorilor DarkSide 25% din plățile de răscumpărare de mai puțin de 500.000 USD, dar reducerea furnizorilor scade cu cât plata este mai mare. Raportul FireEye spune că „afiliaților le este interzis să vizeze spitale, școli, universități, organizații non-profit și entități din sectorul public”.
Ce a spus DarkSide despre asta?
Managerii de ransomware DarkSide au încercat să se distanțeze de atacul Colonial Pipeline, susținând într-o declarație 10 mai că „scopul nostru este să facem bani și nu să creăm probleme pentru societate”.
Ei spun că „vor verifica fiecare companie pe care partenerii noștri doresc să o cripteze pentru a evita consecințele sociale în viitor”.
Vezi mai multDarkSide #ransomware Leaks Press Center: pic.twitter.com/NNmv0UphQw 10 mai 2021
Cât de mult cer escrocii în răscumpărare?
Acest lucru nu a fost dezvăluit, dar este neapărat să fie o mulțime de bani, deși Colonial Pipeline poate avea acoperire de asigurare pentru plățile ransomware.
cum să obțineți internetul Starlink
Ajută guvernul?
Guvernul federal are regulile renunțate temporar împiedicând vânzarea benzinei care generează smog în statele din mijlocul Atlanticului.
The Administrația Federală pentru Siguranța Transportatorilor de Motor a renunțat temporar la regulile care restricționează transportul de benzină și alți combustibili în camioane în 17 state și Districtul Columbia.
Cine ajută Colonial Pipeline să-și curețe sistemele informatice?
Echipa de răspuns la incident de la firma de securitate cibernetică FireEye a fost adusă.
Ce este de fapt Colonial Pipeline?
Colonial Pipeline este un operator privat de conducte fondat în 1961 și cu sediul în Alpharetta, Georgia, lângă Atlanta. Se spune că furnizează aproximativ 45% din combustibilul pe bază de petrol - benzină, combustibil pentru avioane, ulei pentru încălzirea locuințelor, motorină - folosit pe Coasta de Est.
Conducta principală a companiei se întinde din estul Texasului până în nordul New Jersey, cu linii secundare care merg în Tennessee. Conducta a avut mai multe deversări în ultimele două decenii și în 2016 un muncitor în construcții a fost ucis când un buldoexcavator a săpat în conductă la locul unei scurgeri în Alabama, provocând o explozie.
Cum a intrat ransomware-ul în sistemele informatice ale Colonial Pipeline?
Asta nu a fost dezvăluit. Există mai multe moduri în care ransomware-ul ar fi putut intra în sisteme, inclusiv un e-mail de phishing, un site web configurat greșit sau prin sistemele proprii ale unei companii conectate.
Poate Colonial Pipeline să mute combustibil fără sisteme informatice?
Compania a spus că tehnologia care operează conducta funcționează normal, dar că multe dintre aceste sisteme au fost scoase offline ca măsură de precauție.
După cum am menționat mai sus, este posibil ca sistemul de ticketing să nu funcționeze corect. Dacă acest lucru este adevărat, ar însemna că compania ar putea să nu poată măsura cu exactitate cât de mult combustibil este livrat și, prin urmare, ar putea să nu poată factura în mod corespunzător clienții săi.
Sunt rușii implicați în acest atac cibernetic?
Grupul DarkSide pare să aibă sediul în Rusia, dar asta nu înseamnă că guvernul rus are vreo legătură cu asta. Majoritatea grupurilor de ransomware sunt criminali cu guler alb, nu spioni. Casa Albă a numit acest lucru un „act criminal”.
A spus președintele Biden în timpul unei conferințe de presă 10 mai că „nu există dovezi din partea oamenilor noștri de informații că Rusia este implicată, deși există dovezi că actorii, ransomware-ul, se află în Rusia”.
„Au o anumită responsabilitate să se ocupe de asta”, a adăugat el.
Ați putea argumenta că guvernul rus are o anumită responsabilitate pentru acest lucru. Asta pentru că timp de cel puțin două decenii, autoritățile interne ruse au lăsat infractorii cibernetici să opereze deschis pe pământul rus atâta timp cât nu atacă alți ruși.
„Nu lucra niciodată împotriva țării tale și a afacerilor din țara asta”, așa a vorbit un expert rus în securitate Associated Press a descris atitudinea Moscovei. „Dacă furi ceva de la americani, e în regulă”.
Multe tipuri de malware, inclusiv ransomware-ul DarkSide, nu se vor activa dacă detectează că computerul pe care l-au infectat este setat să folosească limba rusă sau o altă limbă din fostul bloc sovietic ca limbă implicită.
Cum să ștergeți Windows Update
Ce agenții federale au fost aduse în acest caz?
FBI este implicat, dar nu este clar dacă conduce ancheta, deși probabil că ar fi.
Biroul luni (10 mai) a eliberat un scurtă declarație : „FBI confirmă că ransomware-ul DarkSide este responsabil pentru compromisul rețelelor Colonial Pipeline. Continuăm să lucrăm cu compania și cu partenerii noștri guvernamentali la investigație.
Departamentul pentru Securitate Internă Agenția de Securitate Cibernetică și Securitate a Infrastructurii (CISA) a spus că este, de asemenea, implicată.
Marți (11 mai), cele două agenții au eliberat împreună a aviz de securitate cibernetică privind ransomware-ul DarkSide destinate intreprinderilor.
Cine sunt grupul de ransomware DarkSide?
Există ransomware-ul DarkSide și apoi grupul DarkSide care dezvoltă, distribuie și licențiază ransomware-ul. Deținătorii de licență se abonează la ransomware, dar îl pot folosi pe cont propriu.
Ransomware-ul DarkSide, care atacă computere și servere care rulează Windows sau Linux , va copia datele dintr-un sistem infectat și le va trimite la un server de comandă și control, apoi va cripta datele de pe server. De asemenea, va încerca să ștergă copiile de rezervă ale datelor țintei.
Dacă ținta nu plătește răscumpărarea pentru a elibera datele, titularul de licență al ransomware-ului DarkSide poate amenința că va elibera online copiile furate ale datelor - o tactică numită de experți „extorcare dublă”. Bloomberg News a spus că Colonial Pipeline a primit un astfel de avertisment.
Managerii DarkSide au spus chiar că ar fi dispuși să vândă datele furate ale unei companii unei companii rivale sau investitorilor înainte de a le face publice.
Un expert de la CrowdStrike a spus Cablat că managerii DarkSide erau foști hoți de carduri de credit care au trecut la ransomware după ce au văzut cât de profitabil poate fi.
Cum mă pot proteja de ransomware-ul DarkSide?
Dacă sunteți un utilizator de computer de acasă, DarkSide și alte grupuri de ransomware de top nu sunt atât de interesate de dvs. cum ar fi fost acum câțiva ani.
Banii mari sunt acum în atacarea companiilor mari și mijlocii și a altor organizații - sisteme școlare, guverne orașe, facilități medicale, universități, departamente de poliție - care trebuie să-și recupereze datele și își pot permite (adesea) să plătească pentru ele.
Managerii DarkSide au declarat în comunicate de presă (da, au comunicate de presă) că nu vor ataca spitale, școli, universități sau organizații guvernamentale.
„Atacăm doar companiile care pot plăti suma cerută, nu vrem să vă ucidem afacerea”, a spus grupul într-unul dintre primele comunicate de presă după ce și-au declarat existența în august anul trecut.
Omul păianjen departe de casă
Totuși, nu este clar cum pot controla ce organizații atacă afiliații lor.
Managerii DarkSide au chiar au încercat să doneze o parte din câștigurile obținute rău în scopuri caritabile , dar donațiile lor au fost respinse.
Puteți decripta fișierele criptate de ransomware-ul DarkSide?
Firma de securitate a informațiilor Bitdefender a lansat a Instrument de decriptare DarkSide în ianuarie, dar probabil că nu va funcționa pe fișierele criptate în atacurile DarkSide de atunci.
Această poveste a fost publicată inițial pe 11 mai 2021.
