Байден говорит, что нет никаких доказательств причастности правительства России к прорыву трубопровода

Bloomberg

Взлом Pipeline разоблачает жесткую привязку к планам вымогательства в Интернете

(Bloomberg) — Атака, обрушившаяся на Colonel Pipeline на прошлой неделе, представляет собой новую форму киберпреступности, которая заставляет обычно трезвые корпоративные структуры связывать схемы вымогательства старой школы, в которой отражены баланс компании, ее страховой статус и абсорбционная способность. Боль от длительного перерыва в работе может сыграть свою роль, поскольку злоумышленники и специалисты по такому типу взлома, который называется вымогателем, проникли в административную сеть компании и отключили компьютеры компании для сотрудников, что привело к неожиданному отключению основных поставок дизельного топлива на Восточном побережье. бензин и авиакеросин. Помощь получают частные эксперты по кибербезопасности, но компания в значительной степени одна сталкивается с шквалом незавидных вариантов, не последним из которых, по мнению экспертов по безопасности и опытных переговорщиков, являются переговоры с хакерами и уплата выкупа. Руководители колоний, а также большая часть страны получают жестокий урок эффективности программ-вымогателей и того факта, что хакеры обладают большинством основных преимуществ. Некоторые группы программ-вымогателей, в том числе DarkSide, группа, подозреваемая в взломе Colonial, теперь регулярно блокируют данные жертвы, а также крадут их, угрожая обнародовать их как часть запроса о вымогательстве. По мнению экспертов по кибербезопасности, обычно самый критический этап атаки программы-вымогателя — первые 72 часа — и это очень напряженный и вероятный период, который может выявить масштаб ущерба для операций и стоимость восстановления. В понедельник Colonial заявила, что рассчитывает восстановить работу в основном к концу недели. Через несколько дней после взлома Colonial и ее подрядчик по реагированию на инциденты, Mandiant, компания FireEye Inc. , В гонке по изгнанию злоумышленников, как они пытаются. Чтобы точно определить распространенность заражения вредоносным ПО. По словам Честера Вишневски, главного научного сотрудника компании Sophos, занимающейся кибербезопасностью, одним из ключевых вопросов является определение того, сколько данных можно восстановить без уплаты выкупа. «В большинстве случаев мы все еще пытаемся выяснить, избавились ли мы от них из системы или есть еще способы взлома», — сказал Вишневски. «В первые два дня вы просто пытаетесь убедиться, что злоумышленник не сможет отменить шаги, которые вы планируете предпринять, когда вы достигнете фазы восстановления». Colonial ничего не говорит о том, намерена ли она заплатить выкуп или даже ведет ли компания переговоры с хакерами. По словам двух людей, знакомых с расследованием, злоумышленники DarkSide украли почти 100 ГБ данных, прежде чем зашифровать файлы компании и потребовать выплаты. — сказала генеральный директор Crux Вики Нотт. OCM, компания, стремящаяся к автоматизации диспетчерских пунктов трубопроводов. «Colonial лучше раскрыть сделку о выкупе, чем раскрыть эти данные, а затем оплачивать судебные процессы со всеми своими клиентами». Среди наиболее реалистичных возможностей, по словам Нотта, хакеры украли конфиденциальные коммерческие данные для любого конвейера, включая то, что разные производители будут платить за доставку продуктов через конвейер. Поскольку программы-вымогатели превратились в глобальное преступное предприятие, Colonial будет иметь небольшую армию экспертов, которые помогут руководству разобраться с вариантами. Колониальная страховая компания, скорее всего, вмешается и предоставит утвержденный список переговорщиков, которые компания должна использовать, если решит общаться с хакерами, обычно эти переговорщики работали над десятками подобных случаев и, возможно, ранее вели переговоры с хакерами DarkSide в другие случаи. случаи. Жертва и хакеры могут торговаться из-за требования выкупа, иногда в течение нескольких дней, прежде чем будет согласовано окончательное количество. Ранее DarkSide требовал выкупа на миллионы долларов, но, учитывая масштаб колониальной атаки, по мнению экспертов по кибербезопасности, ее цена может быть выше. Во время предыдущих атак некоторые компании отказывались платить даже под серьезным давлением. После того, как норвежский производитель алюминия Norsk Hydro в 2019 году подвергся разрушительной атаке программ-вымогателей, генеральный директор компании решил не иметь дела с хакерами — решение, которое, вероятно, увеличит стоимость восстановления после атаки на десятки миллионов человек. «Злоумышленники DarkSide заработали репутацию кражи данных компаний, которые могут побудить жертв заплатить», — сказала Венди Уитмор, старший вице-президент группы электронных исследований подразделения 42 компании Palo Alto Networks. Уитмор сказал, что первоначальные ответы всегда включают в себя обеспечение того, чтобы сотрудники прекратили использовать учетные записи электронной почты компании, пока вычет не будет окончательно удален из сети. Это связано с тем, что, по словам Вишневски, если у злоумышленников все еще есть видение внутренних коммуникаций, они могут отслеживать усилия по восстановлению после взлома, и в первые дни атаки связь с хакерами часто минимальна, поскольку жертва пытается определить если есть возможность избежать оплаты. Если зашифрованные данные находятся на серверах резервного копирования, защищенных от заражения программами-вымогателями, жертва может восстановить операции без уплаты выкупа. Это одна из причин, по которой многие банды программ-вымогателей теперь также крадут данные — они все еще могут требовать выплаты, даже если файлы восстанавливаются, и эксперты говорят, что атаки программ-вымогателей редко удается устранить в течение первой недели или около того. Но большинство атак с использованием программ-вымогателей не несут такие же риски и не привлекают внимание Белого дома, который создал межведомственную целевую группу для борьбы с кибератакой. В конвейере не было ничего необычного, поскольку DarkSide поддерживает общедоступную веб-страницу, где хакеры рассказывают о прошлых жертвах, но они также пытаются создать имидж себя как заслуживающих доверия людей — даже если их действия являются просто цифровым шантажом для прямого обращения к колониальный прорыв в том, что выглядело как попытка перестроить экономику Америки в более благоприятном свете. Он переложил вину на клиента — DarkSide и другие банды вымогателей иногда продают вредоносное ПО другим — и они, похоже, выражают некоторое раскаяние. «Мы ищем другие мотивы», — говорится в новом заявлении хакера. «Наша цель — зарабатывать деньги, а не создавать проблемы для общества. Начиная с сегодняшнего дня, мы обеспечиваем контроль и проверку каждой компании, которую наши партнеры хотят кодифицировать, чтобы избежать социальных последствий в будущем». Чтобы узнать больше о подобных статьях, посетите нас на bloomberg.com. © 2021 Bloomberg LP