Содержание статьи
Атака на Colonial Pipeline
Крупные компании и организации в последнее время нередко становятся жертвами хакерских атак. Но если одни хакерские группы обещают не атаковать сферу здравоохранения, критическую инфраструктуру и в целом стараются не привлекать к себе излишнее внимание, другие не щадят никого и даже во время пандемии коронавируса атакуют сети медицинских учреждений.
Атака на компанию Colonial Pipeline, которая является крупнейшим в США оператором трубопроводов и занимается транспортировкой топлива, стала резонансным инцидентом. Из‑за этой атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки в ряде штатов.
Дело в том, что инцидент вынудил Colonial Pipeline временно приостановить работу, а компания транспортирует нефтепродукты между нефтеперерабатывающими заводами, расположенными на побережье Мексиканского залива, и рынками на юге и востоке США. В день по трубопроводу компании, чья протяженность составляет 5500 миль, проходит до 2 500 000 баррелей, то есть примерно 45% всего топлива, потребляемого на Восточном побережье США.
«7 мая стало известно, что компания Colonial Pipeline стала жертвой кибератаки. Мы превентивно отключили определенные системы, чтобы сдержать угрозу, которая временно прервала работу нашего трубопровода и затронула некоторые ИТ‑системы. Узнав о проблеме, мы обратились к сторонней фирме, занимающейся кибербезопасностью, и они уже начали расследование характера и масштабов этого инцидента, которое еще продолжается», — гласило официальное заявление Colonial Pipeline, сделанное сразу после инцидента.
В результате Федеральная администрация безопасности грузового автомобильного транспорта при Министерстве транспорта США объявила региональный режим ЧС, затрагивающий 17 штатов и округ Колумбия. Это решение было принято для оказания помощи пострадавшим районам, нуждающимся в немедленных поставках бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки.
Режим ЧС распространялся на следующие штаты и округа: Алабама, Арканзас, Вирджиния, Делавэр, Джорджия, Кентукки, округ Колумбия, Луизиана, Миссисипи, Мэриленд, Нью‑Джерси, Нью‑Йорк, Пенсильвания, Северная Каролина, Теннеси, Техас, Флорида и Южная Каролина.
Представители Colonial Pipeline уверяли, что работают с правоохранительными органами и Министерством энергетики США, чтобы постепенно вернуть в строй сегменты трубопровода и в кратчайшие сроки восстановить работу ИТ‑систем.
Выкуп в размере 4,4 миллиона долларов
Вскоре после того как о взломе стало известно, издание Bloomberg, со ссылкой на собственные анонимные источники, сообщило, что компания выплатила вымогателям выкуп в размере 5 миллионов долларов США. Хотя при этом Washington Post и Reuters писали, что компания не намерена вести переговоры со злоумышленниками, журналисты Bloomberg заявили, что эта информация не соответствует действительности.
Почти одновременно с появлением этих сообщений в прессе Colonial Pipeline действительно удалось восстановить штатную работу своего трубопровода, и поставки нефтепродуктов были возобновлены в нормальном объеме.
Несколько дней спустя глава Colonial Pipeline Джозеф Блаунт (Joseph Blount) официально подтвердил журналистам Wall Street Journal, что компания заплатила злоумышленникам 4,4 миллиона долларов США в биткойнах. По его словам, это было необходимо, чтобы как можно быстрее оправиться от атаки шифровальщика, которая оказала влияние на критически важную энергетическую инфраструктуру. Блаунт назвал выплату выкупа «правильным поступком», сделанным «ради страны».
«Я знаю, это весьма спорное решение. Мне было нелегко это сделать. Признаюсь, было некомфортно наблюдать за тем, как деньги уходят к подобным людям», — рассказал Блаунт, заявив, что выкуп был выплачен еще 7 мая.
В итоге компания действительно получила инструмент для дешифрования данных, однако он работал столь медленно, что специалисты компании были вынуждены продолжить ранее начатое восстановление систем из резервных копий.
DarkSide
Почти сразу было известно, что за атакой на Colonial Pipeline стоят операторы шифровальщика DarkSide. Первым об этом сообщило издание Washington Post, и вскоре эту информацию официально подтвердило ФБР.
Группировка, создавшая малварь DarkSide, активна с августа 2020 года и работает по схеме «вымогатель как услуга» (Ransomware as a Service, RaaS), активно рекламируя малварь в даркнете и сотрудничая с другими хак‑группами. В итоге DarkSide представляет собой классического «охотника за крупной дичью», то есть преимущественно атакует крупные корпоративные сети, шифрует данные, а затем требует у пострадавших компаний огромные выкупы. Если жертвы отказываются платить, участники DarkSide публикуют похищенные у них данные на своем сайте в даркнете.
Согласно свежему отчету компании Elliptic, занимающейся блокчейн‑анализом, к настоящему моменту хакеры успели «заработать» на выкупах около 90 миллионов долларов.
«В общей сложности чуть более 90 миллионов долларов в биткойнах было выплачено DarkSide из 47 различных кошельков», — говорится в отчете компании.
Поскольку DarkSide работал по модели RaaS, разработчики шифровальщика оставляли себе около 25% выплаченных выкупов или 10%, если выкуп превышал 5 миллионов долларов. Поэтому в Elliptic полагают, что в действительности сами хакеры «заработали» около 15,5 миллиона долларов, а остальные средства остались в руках «партнеров» группировки (злоумышленников, которые взламывают сети жертв и разворачивают в них малварь).
Многие эксперты заявляли, что, атаковав Colonial Pipeline, хакеры зашли слишком далеко и теперь представляют большой интерес для правоохранительных органов США.
При этом президент США Джо Байден заявил на пресс‑конференции, что информации о причастности к этой атаке российского правительства нет, но, по данным спецслужб, участники хак‑группы могут находиться на территории России. Байден сообщал, что власти США намерены помешать работе хак‑группы, и для этого уже были проведены переговоры с Москвой.
Исчезновение DarkSide
Так как атака на Colonial Pipeline привлекла внимание экспертов, спецслужб и СМИ со всего мира, уже через несколько дней хакеры поспешили выпустить заявление. Тогда как в прессе данную атаку пытались приписать российским правительственным хакерам, в «пресс‑релизе», который был опубликован на сайте DarkSide 10 мая, говорилось, что группировка аполитична и преследует исключительно собственные цели. Также хакеры, похоже, были не рады тому, какой хаос спровоцировали их действия. Они пообещали впредь внимательнее проверять будущие цели:
«Мы аполитичны, не связаны с геополитикой, и не нужно связывать нас с определенными правительствами и искать другие мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества.
С сегодняшнего дня мы вводим модерацию и будем проверять каждую компанию, которую наши клиенты хотят зашифровать, чтобы избежать подобных социальных последствий в будущем».
14 мая 2021 года операторы DarkSide обнародовали еще одно сообщение, в котором заявили, что они утратили контроль над своими веб‑серверами и средствами, полученными в результате выплаты выкупов, и теперь прекращают работу.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»