На прошлой неделе жертвой шифровальщика DarkSide стала американская компания Colonial Pipeline, которая является крупнейшим в США оператором трубопроводов и занимается транспортировкой топлива.
Атака
Из-за атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки в ряде штатов. Дело в том, что инцидент вынудил Colonial Pipeline временно приостановить работу, а компания транспортирует нефтепродукты между нефтеперерабатывающими заводами, расположенными на побережье Мексиканского залива, и рынками на юге и востоке США. В день по трубопроводу компании, чья протяженность составляет 5500 миль, проходит до 2 500 000 баррелей, то есть примерно 45% всего топлива, потребляемого на Восточном побережье США.
«7 мая стало известно, что компания Colonial Pipeline стала жертвой атаки кибератаки. Мы превентивно отключили определенные системы, чтобы сдержать угрозу, которая временно прервала работу нашего трубопровода и затронула некоторые ИТ-системы. Узнав о проблеме, мы обратились к сторонней фирме, занимающейся кибербезопасностью, и они уже начали расследование характера и масштабов этого инцидента, которое еще продолжается», — гласит официальное заявление Colonial Pipeline.
В результате Федеральная администрация безопасности грузового автомобильного транспорта при Министерстве транспорта США объявила региональный режим ЧС, затрагивающий 17 штатов и округ Колумбия. Это решение было принято для оказания помощи пострадавшим районам, нуждающимся в немедленных поставках бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки.
Режим ЧС распространяется следующие штаты и округа: Алабама, Арканзас, округ Колумбия, Делавэр, Флорида, Джорджия, Кентукки, Луизиана, Мэриленд, Миссисипи, Нью-Джерси, Нью-Йорк, Северная Каролина, Пенсильвания, Южная Каролина, Теннеси, Техас и Вирджиния.
Представители Colonial Pipeline уверяют, что работают с правоохранительными органами и Министерством энергетики США, чтобы постепенно вернуть в строй сегменты трубопровода и восстановить работу ИТ-систем. Однако в компании предупреждают, что это займет какое-то время. Точных дат пока не называют, но компания надеется вернуться к нормальной работе к концу этой недели.
DarkSide
Почти сразу стало известно, что за атакой стоят операторы шифровальщика DarkSide. Первым об этом сообщило издание Washington Post, и вскоре эту информацию официально подтвердило ФБР.
FBI Statement on Compromise of Colonial Pipeline Networks https://t.co/XxHgezpref pic.twitter.com/McrRFOil64
— FBI (@FBI) May 10, 2021
Напомню, что группировка DarkSide активна с августа 2020 года и работает по схеме «вымогатель как услуга» (RaaS), активно рекламируя малварь в даркнете и сотрудничая с другими хак-группами. В итоге DarkSide представляет собой классического «охотника за крупной дичью», то есть преимущественно атакует крупные корпоративные сети, шифрует данные, а затем требует у пострадавших компаний огромные выкупы. Если жертвы отказываются платить, участники Darkside публикуют похищенные у них данные на своем сайте в даркнете.
Так как атака на Colonial Pipeline привлекла внимание экспертов и СМИ со всего мира, сами хакеры так же поспешили выпустить заявление. Тогда как в прессе данную атаку пытались приписать российским правительственным хакерам, в «пресс-релизе», который был опубликован на сайте DarkSide 10 мая, говорится, что группировка аполитична и преследует исключительно собственные цели. Также хакеры, похоже, не рады тому, какой хаос спровоцировала эта атака. Они пообещали впредь внимательнее проверять будущие цели.
«Мы аполитичны, не связаны с геополитикой, и не нужно связывать нас с определенными правительствами и искать другие мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества.
С сегодняшнего дня мы вводим модерацию и будем проверяться каждую компанию, которую наши клиенты хотят зашифровать, чтобы избежать подобных социальных последствий в будущем».
Многие эксперты полагают, что атаковав Colonial Pipeline, группировка DarkSide зашла слишком далеко и теперь представляет большой интерес для правоохранительных органов США. Поэтому вряд ли кто-то удивится, если DarkSide в скором будущем опубликует ключи для дешифрования систем Colonial Pipeline и не станет «сливать» данные компании в открытый доступ.
Интересно, что на днях президент США Джо Байден заявил на пресс-конференции, что данных о причастности к этой атаке российского правительства нет, но, по данным спецслужб, участники хак-группы действительно могут находится на территории России. Вскоре причастность России к этому инциденту опроверг и Дмитрий Песков.