colonial pipeline что это

США вернули Colonial Pipeline большую часть от уплаченного хакерам выкупа

Власти США вернули несколько миллионов долларов, которые были уплачены трубопроводной компанией Colonial Pipeline в качестве выкупа хакерам, взломавшим ее компьютерную сеть. Об этом заявила заместитель генерального прокурора США Лиза Монако, передает Reuters.

Как сообщил на пресс-конференции для журналистов в Минюсте заместитель директора ФБР Пол Эббот, правоохранительные органы смогли изъять часть выплаченной хакерам суммы с электронного кошелька для биткоинов группировки DarkSide. По его словам, хакеры не смогли воспользоваться средствами, которые им заплатила Colonial Pipeline.

Colonial Pipeline — один из крупнейших трубопроводных операторов в США. Хакерская атака произошла 6 мая, а уже на следующий день компания была вынуждена остановить работу трубопровода. Из-за этого под угрозой оказались поставки горючего на автозаправки сразу в нескольких густонаселенных штатах на Восточном побережье. По данным Colonial Pipeline, трубопровод обеспечивает 45% поставок топлива на востоке США. По оценке Bloomberg, атака могла привести к взлету цен на бензин в США до самого высокого с 2014 года уровня.

О том, что за взломом стоит хакерская группа DarkSide, говорили СМИ и ФБР. Считалось, что ее члены — выходцы из Восточной Европы, однако после нападения на сети Colonial Pipeline американские СМИ сообщили, что группа «происходит из России». При этом они уточнили, что данных о том, что ее работу курируют российские власти, нет.

Источник

Могут ли помочь власти при атаке шифровальщиков?

Как Colonial Pipeline удалось лишить злоумышленников доступа к похищенным данным.

Один из самых резонансных инцидентов с вымогателями-шифровальщиками за последнее время — недавняя атака на Colonial Pipeline, компанию, снабжающую топливом изрядную часть восточного побережья США. Детали этой атаки по понятным причинам не разглашаются, однако обрывки информации просачиваются в СМИ — и из этой информации можно извлечь как минимум один урок: если своевременно обратиться в правоохранительные органы, есть шанс уменьшить ущерб от атаки. Разумеется, выбор есть не у всех — в некоторых странах жертва обязана проинформировать регулятора. Однако даже там, где это необязательно, такое обращение может оказаться небесполезным.

Чем может помочь обращение к властям

Современные вымогатели не только шифруют данные и требуют выкуп за расшифровку, но и воруют информацию из корпоративной сети, чтобы шантажировать еще и их публикацией. Именно так поступили преступники в случае с Colonial Pipeline — злоумышленники выкачали порядка 100 гигабайт данных из сети компании.

Однако, по информации Washington Post, внешние эксперты, проводящие расследование инцидента, быстро разобрались в случившемся, выяснили, куда были скопированы похищенные данные, и связались с ФБР. Федералы, в свою очередь, обратились к провайдеру, на сервер которого была загружена эта информация, и добились изоляции сервера. В результате киберпреступники могли лишиться доступа к серверу с похищенной у Colonial Pipeline информацией, а сама Colonial Pipleine таким образом, возможно, смогла смягчить последствия утечки.

Разумеется, это не отменяет того факта, что основные трубопроводы Colonial Pipeline до сих пор не работают. Ущерб нанесен немалый, однако очевидно, что если бы данные остались в руках преступников, то он мог бы быть еще большим.

Что произошло в Colonial Pipeline, и каковы последствия инцидента

В пятницу 7 мая компания Colonial Pipeline, поддерживающая крупнейший на восточном побережье США трубопровод для передачи топлива, подверглась атаке шифровальщика. Сотрудники компании были вынуждены приостановить работу информационных систем, частично из-за того, что некоторые компьютеры были зашифрованы, а частично — чтобы предотвратить распространение заразы. Это вызвало задержки в поставках топлива по восточному побережью и привело к тому, что фьючерсы на бензин выросли на 4%. Для смягчения ущерба даже планируется увеличение поставок горючего при помощи автоцистерн.

Компания продолжает восстановление своих систем, но, по информации источников блога Zero Day, проблема может быть не столько в технологических сетях, сколько в системе биллинга. Пока она не будет восстановлена, Colonial Pipeline не сможет автоматически выставлять счета своим клиентам.

Кто атаковал Colonial Pipeline

По всей видимости, компания была атакована при помощи вредоносного ПО DarkSide. Шифровальщики DarkSide могут работать как под Windows, так и под Linux (продукты Kaspersky детектируют его как Trojan-Ransom.Win32.Darkside and Trojan-Ransom.Linux.Darkside). В них используются надежные алгоритмы шифрования, так что вернуть данные без ключа возможным не представляется.

Злоумышленники, стоящие за DarkSide, выкладывают похищенные данные на площадке DarkSide Leaks в даркнете. Недавно мы писали о том, что эта группировка со стороны выглядит как полноценный провайдер онлайн-сервиса — со службой техподдержки, пиар-отделом и пресс-центром. На сайте злоумышленников незамедлительно появился дисклеймер о том, что они не преследуют политических целей, а просто пытаются заработать денег.

DarkSide работает по системе Ransomware-as-a-service — предлагают свое ПО и сопутствующую инфраструктуру, а непосредственно атаки совершают их партнеры, которые самостоятельно ищут пути распространения зловреда. За выбор Colonial Pipeline в качестве цели как раз и был ответственен один из таких партнеров. По словам преступников из Darkside, они не хотели столь серьезных социальных последствий атаки и впредь будут тщательнее изучать жертв, намечаемых «посредниками». Впрочем, не факт, что это утверждение правдиво — весьма вероятно, что это очередной пиар-трюк вымогателей.

Как защититься от атак шифровальщиков

Чтобы обезопасить вашу компанию от атак с использованием программ-вымогателей, специалисты «Лаборатории Касперского» рекомендуют:

Ну и, как показывает пример с Colonial Pipeline, имеет смысл обращаться за помощью к правоохранительным органам, причем чем раньше, тем лучше. Гарантий это, конечно, не дает, но иногда позволяет значительно уменьшить возможный ущерб.

Источник

DarkSide vs Colonial Pipeline. Как взлом оператора трубопроводов вынудил андеграунд запретить шифровальщики

Содержание статьи

Атака на Colonial Pipeline

Круп­ные ком­пании и орга­низа­ции в пос­леднее вре­мя неред­ко ста­новят­ся жер­тва­ми хакер­ских атак. Но если одни хакер­ские груп­пы обе­щают не ата­ковать сфе­ру здра­воох­ранения, кри­тичес­кую инфраструк­туру и в целом ста­рают­ся не прив­лекать к себе излишнее вни­мание, дру­гие не щадят никого и даже во вре­мя пан­демии корона­виру­са ата­куют сети медицин­ских учрежде­ний.

Ата­ка на ком­панию Colonial Pipeline, которая явля­ется круп­ней­шим в США опе­рато­ром тру­боп­роводов и занима­ется тран­спор­тиров­кой топ­лива, ста­ла резонан­сным инци­ден­том. Из‑за этой ата­ки воз­никли проб­лемы с пос­тавка­ми бен­зина, дизель­ного топ­лива, ави­ацион­ного топ­лива и дру­гих про­дук­тов неф­тепере­работ­ки в ряде шта­тов.

Де­ло в том, что инци­дент вынудил Colonial Pipeline вре­мен­но при­оста­новить работу, а ком­пания тран­спор­тиру­ет неф­тепро­дук­ты меж­ду неф­тепере­раба­тыва­ющи­ми завода­ми, рас­положен­ными на побережье Мек­сикан­ско­го залива, и рын­ками на юге и вос­токе США. В день по тру­боп­роводу ком­пании, чья про­тяжен­ность сос­тавля­ет 5500 миль, про­ходит до 2 500 000 бар­релей, то есть при­мер­но 45% все­го топ­лива, пот­ребля­емо­го на Вос­точном побережье США.

«7 мая ста­ло извес­тно, что ком­пания Colonial Pipeline ста­ла жер­твой кибера­таки. Мы пре­вен­тивно отклю­чили опре­делен­ные сис­темы, что­бы сдер­жать угро­зу, которая вре­мен­но прер­вала работу нашего тру­боп­ровода и зат­ронула некото­рые ИТ‑сис­темы. Узнав о проб­леме, мы обра­тились к сто­рон­ней фир­ме, занима­ющей­ся кибер­безопас­ностью, и они уже начали рас­сле­дова­ние харак­тера и мас­шта­бов это­го инци­ден­та, которое еще про­дол­жает­ся», — гла­сило офи­циаль­ное заяв­ление Colonial Pipeline, сде­лан­ное сра­зу пос­ле инци­ден­та.

В резуль­тате Федераль­ная адми­нис­тра­ция безопас­ности гру­зово­го авто­мобиль­ного тран­спор­та при Минис­терс­тве тран­спор­та США объ­яви­ла реги­ональ­ный режим ЧС, зат­рагива­ющий 17 шта­тов и округ Колум­бия. Это решение было при­нято для ока­зания помощи пос­тра­дав­шим рай­онам, нуж­дающим­ся в немед­ленных пос­тавках бен­зина, дизель­ного топ­лива, ави­аке­роси­на и дру­гих про­дук­тов неф­тепере­работ­ки.

Ре­жим ЧС рас­простра­нял­ся на сле­дующие шта­ты и окру­га: Ала­бама, Арканзас, Вир­джи­ния, Делавэр, Джор­джия, Кен­тукки, округ Колум­бия, Луизиана, Мис­сисипи, Мэриленд, Нью‑Джер­си, Нью‑Йорк, Пен­силь­вания, Север­ная Кароли­на, Тен­неси, Техас, Фло­рида и Южная Кароли­на.

Пред­ста­вите­ли Colonial Pipeline уве­ряли, что работа­ют с пра­воох­ранитель­ными орга­нами и Минис­терс­твом энер­гетики США, что­бы пос­тепен­но вер­нуть в строй сег­менты тру­боп­ровода и в крат­чай­шие сро­ки вос­ста­новить работу ИТ‑сис­тем.

Выкуп в размере 4,4 миллиона долларов

Вско­ре пос­ле того как о взло­ме ста­ло извес­тно, изда­ние Bloomberg, со ссыл­кой на собс­твен­ные ано­ним­ные источни­ки, сооб­щило, что ком­пания вып­латила вымога­телям выкуп в раз­мере 5 мил­лионов дол­ларов США. Хотя при этом Washington Post и Reuters писали, что ком­пания не намере­на вес­ти перего­воры со зло­умыш­ленни­ками, жур­налис­ты Bloomberg заяви­ли, что эта информа­ция не соот­ветс­тву­ет дей­стви­тель­нос­ти.

Поч­ти одновре­мен­но с появ­лени­ем этих сооб­щений в прес­се Colonial Pipeline дей­стви­тель­но уда­лось вос­ста­новить штат­ную работу сво­его тру­боп­ровода, и пос­тавки неф­тепро­дук­тов были возоб­новле­ны в нор­маль­ном объ­еме.

Со­обще­ние о возоб­новле­нии работы тру­боп­ровода

Нес­коль­ко дней спус­тя гла­ва Colonial Pipeline Джо­зеф Бла­унт (Joseph Blount) офи­циаль­но под­твер­дил жур­налис­там Wall Street Journal, что ком­пания зап­латила зло­умыш­ленни­кам 4,4 мил­лиона дол­ларов США в бит­кой­нах. По его сло­вам, это было необ­ходимо, что­бы как мож­но быс­трее опра­вить­ся от ата­ки шиф­роваль­щика, которая ока­зала вли­яние на кри­тичес­ки важ­ную энер­гетичес­кую инфраструк­туру. Бла­унт наз­вал вып­лату выкупа «пра­виль­ным пос­тупком», сде­лан­ным «ради стра­ны».

«Я знаю, это весь­ма спор­ное решение. Мне было нелег­ко это сде­лать. Приз­наюсь, было неком­фор­тно наб­людать за тем, как день­ги ухо­дят к подоб­ным людям», — рас­ска­зал Бла­унт, заявив, что выкуп был вып­лачен еще 7 мая.

В ито­ге ком­пания дей­стви­тель­но получи­ла инс­тру­мент для дешиф­рования дан­ных, одна­ко он работал столь мед­ленно, что спе­циалис­ты ком­пании были вынуж­дены про­дол­жить ранее начатое вос­ста­нов­ление сис­тем из резер­вных копий.

DarkSide

Поч­ти сра­зу было извес­тно, что за ата­кой на Colonial Pipeline сто­ят опе­рато­ры шиф­роваль­щика DarkSide. Пер­вым об этом сооб­щило изда­ние Washington Post, и вско­ре эту информа­цию офи­циаль­но под­твер­дило ФБР.

Груп­пиров­ка, соз­давшая мал­варь DarkSide, активна с августа 2020 года и работа­ет по схе­ме «вымога­тель как услу­га» (Ransomware as a Service, RaaS), активно рек­ламируя мал­варь в дар­кне­те и сот­рудни­чая с дру­гими хак‑груп­пами. В ито­ге DarkSide пред­став­ляет собой клас­сичес­кого «охот­ника за круп­ной дичью», то есть пре­иму­щес­твен­но ата­кует круп­ные кор­поратив­ные сети, шиф­рует дан­ные, а затем тре­бует у пос­тра­дав­ших ком­паний огромные выкупы. Если жер­твы отка­зыва­ются пла­тить, учас­тни­ки DarkSide пуб­лику­ют похищен­ные у них дан­ные на сво­ем сай­те в дар­кне­те.

Сог­ласно све­жему отче­ту ком­пании Elliptic, занима­ющей­ся блок­чейн‑ана­лизом, к нас­тояще­му момен­ту хакеры успе­ли «зарабо­тать» на выкупах око­ло 90 мил­лионов дол­ларов.

«В общей слож­ности чуть более 90 мил­лионов дол­ларов в бит­кой­нах было вып­лачено DarkSide из 47 раз­личных кошель­ков», — говорит­ся в отче­те ком­пании.

Пос­коль­ку DarkSide работал по модели RaaS, раз­работ­чики шиф­роваль­щика оставля­ли себе око­ло 25% вып­лачен­ных выкупов или 10%, если выкуп пре­вышал 5 мил­лионов дол­ларов. Поэто­му в Elliptic полага­ют, что в дей­стви­тель­нос­ти сами хакеры «зарабо­тали» око­ло 15,5 мил­лиона дол­ларов, а осталь­ные средс­тва оста­лись в руках «пар­тне­ров» груп­пиров­ки (зло­умыш­ленни­ков, которые взла­мыва­ют сети жертв и раз­ворачи­вают в них мал­варь).

Мно­гие экспер­ты заяв­ляли, что, ата­ковав Colonial Pipeline, хакеры заш­ли слиш­ком далеко и теперь пред­став­ляют боль­шой инте­рес для пра­воох­ранитель­ных орга­нов США.

При этом пре­зидент США Джо Бай­ден заявил на пресс‑кон­ферен­ции, что информа­ции о при­час­тнос­ти к этой ата­ке рос­сий­ско­го пра­витель­ства нет, но, по дан­ным спец­служб, учас­тни­ки хак‑груп­пы могут находить­ся на тер­ритории Рос­сии. Бай­ден сооб­щал, что влас­ти США намере­ны помешать работе хак‑груп­пы, и для это­го уже были про­веде­ны перего­воры с Мос­квой.

Исчезновение DarkSide

Так как ата­ка на Colonial Pipeline прив­лекла вни­мание экспер­тов, спец­служб и СМИ со все­го мира, уже через нес­коль­ко дней хакеры пос­пешили выпус­тить заяв­ление. Тог­да как в прес­се дан­ную ата­ку пытались при­писать рос­сий­ским пра­витель­ствен­ным хакерам, в «пресс‑релизе», который был опуб­ликован на сай­те DarkSide 10 мая, говори­лось, что груп­пиров­ка апо­литич­на и прес­леду­ет исклю­читель­но собс­твен­ные цели. Так­же хакеры, похоже, были не рады тому, какой хаос спро­воци­рова­ли их дей­ствия. Они пообе­щали впредь вни­матель­нее про­верять будущие цели:

«Мы апо­литич­ны, не свя­заны с геопо­лити­кой, и не нуж­но свя­зывать нас с опре­делен­ными пра­витель­ства­ми и искать дру­гие мотивы. Наша цель — зараба­тывать день­ги, а не соз­давать проб­лемы для общес­тва.

С сегод­няшне­го дня мы вво­дим модера­цию и будем про­верять каж­дую ком­панию, которую наши кли­енты хотят зашиф­ровать, что­бы избе­жать подоб­ных соци­аль­ных пос­ледс­твий в будущем».

14 мая 2021 года опе­рато­ры DarkSide обна­родо­вали еще одно сооб­щение, в котором заяви­ли, что они утра­тили кон­троль над сво­ими веб‑сер­верами и средс­тва­ми, получен­ными в резуль­тате вып­латы выкупов, и теперь прек­раща­ют работу.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Мария Нефёдова

Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Источник

Зашифрованные отношения: как атака на трубопровод Colonial Pipeline может помочь России и США наладить диалог

Компания Colonial Pipeline, оператор одноименной трубопроводной системы, 7 мая обнаружила, что стала жертвой атаки вируса-шифровальщика. Зараженной оказалась корпоративная сеть, не связанная непосредственно с производственным процессом. Тем не менее в компании решили на всякий случай приостановить работу трубопровода, чтобы сдержать распространение шифровальщика. Поставки топлива возобновилась только спустя пять дней.

Идущий из Техаса в Нью-Йорк трубопровод доставляет на восточное побережье США примерно 45% потребляемого там топлива, и его остановка спровоцировала нехватку бензина и рост цен на него на юге и востоке страны — по состоянию на утро 13 мая топлива не было на 17 000 заправок. Власти штатов Вирджиния, Джорджия, Северная Каролина, Флорида объявили чрезвычайное положение. Ситуация оказалась в центре внимания Белого дома, который подключил к реагированию федеральное правительство.

Этот инцидент иллюстрирует, насколько уязвимыми могут быть объекты критической инфраструктуры не только перед целенаправленными деструктивными атаками, но и перед действиями, мотивированными исключительно корыстными интересами. Бизнес-модель злоумышленников, использующих шифровальщики, в целом выглядит следующим образом: с помощью специального программного обеспечения они зашифровывают данные жертвы и требуют выкуп в обмен на ключ для расшифровки. Дополнительно они могут угрожать сливом похищенных данных.

Однако даже если злоумышленники не преследуют цель нарушить работу объекта критической инфраструктуры, это может стать косвенным результатом. В случае Colonial Pipeline решение о приостановке трубопровода было принято самой компанией. Оно, в свою очередь, вызвало панику у потребителей и привело к нехватке бензина.

Именно опосредованные эффекты кибератаки стали одной из причин, почему эта проблема оказалась на повестке дня американской администрации. В последнее время и США, и другие страны мира все чаще сталкиваются с этим вызовом. Kaspersky отмечает, что в 2019-2020 годах количество целевых атак с использованием шифровальщиков против их клиентов увеличилось на 767%. В США в 2018-2020 годах органы власти разных уровней подвергались атакам шифровальщиков 246 раз. В 2020 году серии атак подверглись американские госпитали.

На темной стороне

Другая причина внимания Белого дома к инциденту лежит в политическом поле. Джо Байден обозначил вопросы кибербезопасности в качестве одного из ключевых приоритетов своего президентства. За время правления Дональда Трампа в Вашингтоне сложился консенсус относительно того, что Америка недостаточно решительно борется с угрозами в киберпространстве. Новая администрация демонстрирует готовность исправить это положение с помощью назначения ответственных за проблему чиновников, новых законодательных инициатив, дипломатических шагов или введения санкций. В этом контексте кибератака на Colonial Pipeline, как и другие заметные инциденты первых месяцев президентства Байдена, рассматриваются как возможность воплотить на практике новый подход.

Показательным является то, насколько быстро США публично назвали виновных. Уже через три дня, 10 мая, ФБР заявило, что ответственным за кибератаку является группа Darkside. Как правило, американские спецслужбы называют конкретные группы или страны, причастные к тому или иному инциденту, спустя несколько недель или месяцев после события. Скорость атрибуции призвана в том числе показать внутренней и внешней аудитории готовность профильных ведомств США к борьбе с киберугрозами.

Группа Darkside создана сравнительно недавно и известна специалистам по информационной безопасности с августа 2020 года. Она работает по модели «шифровальщик как услуга» (ransomware-as-a-service): разработчики вредоносной программы не заражают ею жертв самостоятельно, а сдают в аренду партнерам в обмен на часть выручки.

В Darkside предположительно участвуют злоумышленники из России или стран Восточной Европы. На это указывают такие факты, как первое упоминание группы на русскоязычном хакерском форуме, связи с другими группами из этого региона, характерные особенности использования английского языка. В 2020 году специалисты отмечали, что шифровальщик Darkside перед заражением проверяет, есть ли на машине-жертве раскладки клавиатуры на русском и других языках, распространенных на постсоветском пространстве, и при их наличии не шифрует этот компьютер. Таким образом, хакеры соблюдают негласное правило «не работать по РУ», то есть не совершать преступлений против российских организаций. Впрочем, компания FireEye, нанятая Colonial Pipeline для расследования инцидента, в своем отчете сообщает, что появившаяся в мае 2021 года версия шифровальщика не проверяет язык раскладки перед заражением.

Несмотря на мрачное название, Darkside позиционирует себя как Робин Гуда. На своем сайте в даркнете группа заявляет, что будет атаковать только «богатых» (компании, которые могут себе позволить оплатить выкуп), и перечисляет виды организаций, которые не будут подвергаться атакам шифровальщика (медицинские, похоронные, образовательные, неправительственные, государственные). В октябре 2020 года Darkside сообщала о якобы переведенных пожертвованиях благотворительным организациям. 10 мая на фоне ситуации вокруг Colonial Pipeline в очередном пресс-релизе группа заявила, что не интересуется политикой, и пообещала впредь проверять, кого хотят атаковать ее партнёры, чтобы избежать негативных последствий для общества. Эти и другие заявления Darkside невозможно проверить, но их можно рассматривать как часть PR-кампании группы, что свидетельствует о профессионализации создателей шифровальщиков.

Американские официальные лица отмечают, что злоумышленники могут находиться в России. Однако в отличие от других кибератак, в которых обвиняют Москву, в данном случае не выдвигаются претензии к российским спецслужбам. Наоборот, такие чиновники, как заместитель советника президента по национальной безопасности по кибервопросам Энн Нойбергер, глава Министерства энергетики Дженнифер Грэнхолм и сам Джо Байден отмечают, что США не видят связи между группой Darkside и российским правительством.

Повестка для саммита

Президент США считает, что, несмотря на непричастность российских властей к кибератаке, на России может лежать определенная ответственность в том случае, если злоумышленники находятся на ее территории. Это сигнал о том, что американская сторона может вынести проблему шифровальщиков на предстоящий российско-американский саммит. На брифинге 13 мая Байден заявил: «Мы напрямую общаемся с Москвой по поводу необходимости принятия ответственными странами решительных мер против этих сетей шифровальщиков». И позднее добавил, что принятие неких международных стандартов в этой связи может быть одной из тем для разговора с Владимиром Путиным.

Наконец, в многостороннем формате (под эгидой группы правительственных экспертов ООН) Россия и США еще в 2015 году приняли ряд добровольных правил поведения для киберпространства. Они в том числе предполагают, что страна не должна заведомо позволять использовать свою территорию для совершения кибератак против другой страны. Как соблюдать эти правила, стороны не договорились, так что это вопрос для более предметного взаимодействия России и США.

С обеих сторон нет слишком амбициозных ожиданий от саммита, но и российские, и американские представители заявляли о готовности сотрудничать там, где это отвечает их интересам. Таким пересечением может быть сфера информационной безопасности, особенно если переговорщикам удастся выделить наименее политизированные вопросы. Это не поменяет траекторию двусторонних отношений, но может предотвратить хотя бы часть новых кибератак.

Источник

Хакеры остановили крупнейший трубопровод США. За атакой могут стоять преступники из постсоветских стран

Автор фото, Colonial Pipeline

Министерство транспорта США объявило чрезвычайное положение в нескольких штатах из-за остановки крупнейшего трубопровода Colonial Pipeline после кибератаки. Цены на американские нефтепродукты растут, биржевые трейдеры заказывают топливо из Европы, а источники информагентств связывают стоявшую за нападением группировку DarkSide с хакерским сообществом стран бывшего Советского Союза.

По нефтепроводу Colonial Pipeline протяженностью 8850 км ежедневно транспортируется 2,5 млн баррелей нефтепродуктов, обеспечивая 45% потребности Восточного побережья в дизеле, бензине и авиационном топливе.

В пятницу трубопровод полностью остановился из-за кибератаки и пока не вернулся к работе. Ответственность за нападение взяла на себя группировка DarkSide. Аналитики считают, что она может состоять из русскоязычных хакеров.

Из-за действий хакеров Восточному побережью США угрожает энергетический кризис.

Чрезвычайное положение

Из-за остановки трубопровода начали расти котировки нефтепродуктов: в понедельник эксперты предсказывают рост на 2-3%, но чем дольше не работает трубопровод, тем больше риск тяжелых экономических последствий.

Автор фото, Colonial Pipeline

Трейдеры по словам Шармы, сейчас сбиваются с ног, пытаясь найти нефть. Запасы топлива и нефти в США падают, а спрос, особенно на бензин, растет по мере возвращения водителей на дороги после карантина.

Экстренные меры правительства позволяют перевозить нефтепродукты в Нью-Йорк на танкерах. Однако Гаурав Шарма говорит, что для компенсации потери трубопровода этого далеко не достаточно. По информации агентства Рейтер, трейдеры Восточного побережья в понедельник забронировали по меньшей мере шесть танкеров для поставки нефти в Нью-Йорк.

Что известно о нападении?

Такая картинка возникает на экране компьютера, ставшего жертвой атаки DarkSide методом ransomware

В компании Colonial говорят, что сотрудничают со следствием, экспертами по кибербезопасности и Министерством энергетики США.

В воскресенье компания сообщила, что ей удалось наладить работу труб между некоторыми терминалами и точками доставки, хотя четыре основные ветки трубопровода отключены. Colonial уточнила, что трубопровод прекратил работу из-за необходимости «снизить риски». В компании заявили, что вернут его к работе, только когда сочтут, что «это безопасно и не нарушает федеральных регулятивных норм».

Ransomware как услуга

Для этого преступники использовали беспрецедентно масштабную компьютерную систему стоимостью десятки миллионов долларов. Такого в индустрии кибербезопасности не видели еще никогда.

Перечисление похищенных данных на сайте DarkSide в «глубоком интернете»

Мы быстро, просто и понятно объясняем, что случилось, почему это важно и что будет дальше.

Конец истории Подкаст

По данным лондонской компании по кибербезопасности Digital Shadows, хакерская группа DarkSide действует по принципу бизнес-сообщества. Группировка сама разрабатывает программы для шифрования и хищения данных, а потом проводит обучение сообщников, которые получают набор инструментов: собственно, хакерскую программу, шаблон письма с требованиями, а также инструкции о том, как правильно проводить атаки.

Затем сообщники делятся с DarkSide частью выручки от успешных атак. В марте, когда группировка выпустила новый, быстро шифрующий данные вирус, она разослала журналистам пресс-релиз и предложения об интервью.

Как прошла атака

Основатель Digital Shadows Джеймс Чапелл считает, что DarkSide просто купила логин и пароль от используемой компанией утилиты удаленного доступа, например TeamViewer или Microsoft Remote Desktop.

У группировки хакеров есть этические «принципы», которые они публикуют на своем сайте в даркнете

Данные Digital Shadows показывают, что преступники, скорее всего, находятся в стране, где понимают русский язык, поскольку DarkSide избегает нападений на компании в странах бывшего Советского Союза, таких как Россия, Казахстан и Украина.

Источник