Джек М. Жермен
20 мая 2021 года, 4:00 утра по тихоокеанскому времени
ИТ-специалисты во взломанном Colonial Pipeline хорошо поработала над предотвращением кибератаки 7 мая и успешно остановила ее при обнаружении, отключив сеть. Но, согласно брифингу, проведенному руководителями NTT Security во вторник, атака была в основном невидимой на начальных стадиях, длившихся недели.
«Очень трудно сказать, что они могли сделать лучше, потому что мы не будем участвовать в расследовании», — сказал Брюс Снелл, вице-президент по стратегии безопасности и преобразованию подразделения безопасности NTT Security, журналистам, приглашенным на брифинг. об инциденте ».
Colonial Pipeline в начале этого месяца, как сообщается, заплатила преступной группе DarkSide ransomware-as-a-service (RaaS) около 5 миллионов долларов в криптовалюте за расшифровку заблокированных систем. Ущерб, возможно, по-прежнему остается незамеченным глубоко в сети компании.
Кибератака 7 мая затронула системы транспортировки топлива почти на неделю. Она вынудила Colonial Pipeline временно закрыть свои операции и заморозить ИТ-системы, чтобы изолировать сети. инфекции.
Хотя трубопроводы в настоящее время снова в работе, пройдут дни, прежде чем возобновится нормальное обслуживание. Нехватка топлива до сих пор вызвала панические покупки в некоторых странах. драки и драки среди автомобилистов, ожидающих на очередях заправочных станций.
Эксперты по безопасности опасаются, что филиалы DarkSide могут также внедрить тактику двойного вымогательства, которая обнаружится с большим количеством украденных документов и новыми сетевыми угрозами. Схема двойного вымогательства может также включать в себя дополнительные требования уплаты дополнительных выкуп, чтобы предотвратить утечку украденных корпоративных файлов.
«За последний год или около того мы начали наблюдать своего рода двойное вымогательство, которое представляет собой своего рода двойное окунание. Держать вашу информацию в заложниках, но затем в основном говорят вам, что теперь платите, чтобы удалить информацию, которая у них уже есть — сказал Снелл.
Содержание статьи
Основные моменты атаки
Три ключевых вывода из нападения, нанесенного Хиро Мишра, генеральным директором NTT Security.
До сих пор программы-вымогатели и другие кибератаки на критически важную инфраструктуру, трубопроводы энергетического сектора или электрические сети были другими. Предполагалось, что они были мотивированы субъектами национального государства; большинство из них имеют за собой геополитическое вдохновение.
«Мы впервые услышали, что это было финансово мотивировано группой людей, не имевших прямого отношения к какому-либо национальному государству», — сказал он.
Вторым интересным аспектом было участие DarkSide. Эта группа взяла на себя ответственность за взлом. Группа хакеров разработала платформу, объединив вместе технологию и процессы. Затем они предоставили свои знания другим, чтобы запускать аналогичные приложения или атаковать другие организации.
«Эта демократизация знаний о программах-вымогателях по сути вызывает серьезную тревогу, а интенсивность и объем атак, которые мы можем наблюдать, могут быть немного выше, чем то, что мы видели в прошлом, потому что теперь любой другой хакер также может получить доступ к платформе заплатив небольшой процент от суммы выкупа, если они добьются успеха », — предупредил он
.
Третий вопрос — фактор общественной безопасности. Для большинства атак программ-вымогателей мы обращаем внимание на критическую инфраструктуру. Мы смотрим на структуру модели безопасности больше с точки зрения конфиденциальности, целостности и доступности компьютерной системы.
«Этот взлом газопровода или критической инфраструктуры имеет очень важный аспект безопасности. Поэтому, когда мы смотрим на будущие разработки моделей безопасности, в подобных случаях безопасность будет иметь прецеденты», — предсказал Мишра.
Долгий, грязный рост
В атаках программ-вымогателей нет ничего нового. «Они случаются постоянно, и последствия типичны», — заметил Азим Алим, вице-президент по консалтингу и глава NTT Security по Великобритании и Ирландии. Обычно люди меняют пароли и отслеживают свои кредитные отчеты в течение следующих шести-девяти месяцев, когда сеть, которую они используют, подвергается проникновению.
Алим расследует атаки программ-вымогателей в течение последних 10 лет. Он обнаружил, что большая часть его истоков была нацелена на системы онлайн-ставок.
«Русские нацелились на компании онлайн-ставок, и они уже использовали программы-вымогатели, чтобы разделить компанию пополам, а также потребовать выкуп, так что это всегда было», — сказал он.
Теперь программы-вымогатели получают все большее освещение в средствах массовой информации, потому что в центре внимания находятся известные жертвы. Создание программ-вымогателей состоит из двух этапов. В одном участвуют разработчики. Другой связан с аффилированными разработчиками.
В данном случае разработчик-киберпреступник создал программу-вымогатель под названием DarkSide и выпустил ее на рынок партнерских программ. Иногда его подхватывают филиалы, и именно они распространяют его.
«Итак, эта модель существует уже много лет, и именно поэтому так трудно определить тактику или вид интеллекта для определенной группы. Многие люди вовлечены в этот процесс», — сказал Алим.
Изменение Fallout
Однако на этот раз последствия кибератаки будут другими. Снелл подозревает, что последствия распространятся и на доверие.
С точки зрения доверия, в прошлом были очень масштабные нарушения со стороны других промышленных предприятий и производителей. В результате цены на акции упали из-за некомпетентности совета директоров или инвесторов, объяснил Снелл
.
«Colonial действительно следует обращать внимание и искать другие прячущиеся где-то программы-вымогатели», — предположил он. «Исследователи видят, что возникает множество сложных постоянных угроз».
Атаки будут проникать, но затем бездействуют в течение шести или 12 месяцев. Он считает, что исследователям удалось изолировать этот инцидент. Но ИТ-отделу Colonial нужно потратить гораздо больше времени на осмотр и поиск, где еще могут возникнуть проблемы.
"Если бы я был в лодке Colonial прямо сейчас, я бы все прошел тонкой расческой, чтобы удостовериться, что там еще не что-то прячется, чтобы хоть как-то подойти и укусить их через пару месяцев, "сказал Снелл.
Определение векторов атак
Продолжающиеся набеги на цифровую трансформацию являются потенциальным фактором успеха кибератак, предупреждали эксперты по кибербезопасности.
«Мы наблюдаем значительную цифровую трансформацию, и это один из видов обоюдоострого меча», — сказал Снелл.
Цифровая трансформация заключается в улучшении процессов с большей эффективностью и улучшенной отчетностью по всем направлениям в части операционных технологий (OT). Но службы безопасности также наблюдают, как многие организации открываются для атак, отмечает Снелл.
Большая часть пути атаки, без сомнения, была сосредоточена на использовании известных распространенных уязвимостей в сетевом программном обеспечении. Атаки пытались проникнуть в систему через старый механизм и уязвимости для повышения привилегий.
Затем они попытались провести внутреннюю разведку и двустороннее передвижение. Процесс — это гонка за успехом до истечения срока выдержки. Это интервал от момента, когда хакер входит в среду, и время, необходимое вам, чтобы выяснить это, объяснил Снелл. 
