Fizess vagy einstandoljuk a kőolajvezetékedet!

Kibertámadással céloztak már kórházra, de okoztak hatalmas áramszünetet Ukrajnában, és emellett semmisítettek meg rendőrségi videófelvételeket, de kőolaj szállítására való csővezetéket eddig még nem igen bénítottak meg, legalábbis ennyire látványosan biztosan nem. A zsarolóvírus doxinggal kombinált módszerével élve a DarkSide nevű banda most az USA Colonial Pipeline vezetékére mért brutális, címlapokra kerülő csapást.

Nem öröm a ransomware sehol sem, ha például egy kórházban üt be a mennykő, akkor ott jönnek a leállások, az egész foglalási rendszer borul, műtétek maradnak el, és a helyreállításig marad a kőkorszak: a papír és ceruza, a telefon meg a faxolás.

Még nem látni pontosan, milyen hatása lesz ennek a mostani támadásnak, de mindenesetre nagyon látványos, és félő, hogy meghozza a bűnözők kedvét az ehhez hasonló további akciókhoz.

A napi 100 millió gallon (kb. 378 millió liter) kapacitású olajvezeték, amely a texasi Houston és New York között található, napok óta áll, ugyanis kiberbűnözők megtámadták és megbénították a számítógépes rendszert és ezzel egyúttal leállt a keleti partot ellátó vezetéken történő üzemanyag szállítás is. Az üzemeltetők beszámolója szerint május 7-e, péntek óta tart az üzemzavar, melynek elhárításánál kiberbiztonsági szakértők, valamint az FBI specialistái is dolgoznak.

Független elemzők szerint hatalmas olajmennyiség ragadt a texasi oldalon, ami miatt ideiglenes hiány is felléphet, bár egyelőre az üzemanyag árak még nem emelkedtek az incidens hatására.

Az eddig napvilágra került információk szerint a DarkSide nevű, gyanítható kelet-európai, talán oroszországi illetőségű banda lehet az elkövető, ezt nyilvánosan magukra is vállalták. Ez a csapat viszonylag új, három év alatt összesen pár tucat ransomware akciót hajtottak végre, és fő motivációjuk az anyagi haszonszerzés.

A doxing lényege, hogy nem csak az adatok elkódolásáért kérnek váltságdíjat, hanem azzal is fenyegetőznek ilyenkor, hogy nemfizetés esetén nyilvánosságra hozzák az ellopott érzékeny, bizalmas adatokat, ami jelen esetben igen jelentős mennyiség, nagyjából 100 GB-nyi lehet.

A londoni székhelyű kiberbiztonsági cég, a Digital Shadows szerint támadást a koronavírus-járvány segíthette elő, mivel a pandémiás helyzetben több mérnök otthonról, távolról is hozzáfér a csővezeték vezérlő rendszereihez, és vélhetően az ő bejelentkezési adataik ellopásával kezdődhetett ez az incidens. A Digital Shadows kutatása szerint ez a számítógépes bűnözői banda valószínűleg orosz nyelvterületen található, mivel látványosan elkerülik a poszt-szovjet utód államokban lévő vállalatok megtámadását, ideértve Oroszországot, Ukrajnát, Fehéroroszországot, Grúziát, Örményországot, Moldáviát, Azerbajdzsánt, Kazahsztánt, Kirgizisztánt, Tádzsikisztánt, Türkmenisztánt és Üzbegisztánt, a feltételezésre azonban egyelőre semmilyen bizonyíték nincs.

A DarkSide saját állítása szerint (aztán vagy elhisszük, vagy sem) nem támad meg a kórházakat, szociális intézményeket, oktatási illetve kormányzati célpontokat, és bevételének egy részét állítólag jótékonysági célokra fordítja, mint valami újkori Robin Hood.

A Colonial Pipeline azt ígérte, hogy ennek a hétnek a végére előreláthatóan nagyrészt már helyreállhat a normál üzem, és nem kényszerülnek tartósan közúti, vasúti szállítmányozásra. Az Egyesült Államok kritikus infrastruktúráján történt eddigi legsúlyosabb kibertámadásnak egyelőre nem látni a végét, a cég nem közölte, hogy fizetett-e váltságdíjat, vagy hogy folytatnak-e tárgyalásokat, alkukat a bűnözőkkel, illetve a DarkSide sem nyilatkozott egyértelműen ez ügyben, ami azt valószínűsíti, hogy már fizettek, vagy még jelenleg is folyhatnak a háttérben a tárgyalások.

Brian Krebs biztonsági szakértő szerint az állami intézményeknek, a kritikus infrastruktúrákat üzemeltető cégeknek jóval több támogatásra lenne szüksége az ilyen incidensek elkerülése, illetve megelőzése érdekében, és ezzel az állítással nem igazán lehet vitatkozni.

Forrás: https://antivirus.blog.hu