“Η CISA ανταποκρίθηκε σε μια κυβερνοεπίθεση που επηρεάζει το OT δίκτυο μιας εγκατάστασης συμπίεσης φυσικού αερίου”, αναφέρει η προειδοποίηση της CISA.
Σύμφωνα με τους ειδικούς, οι κυβερνοεγκληματίες ξεκίνησαν τη ransomware επίθεση με ένα spear phishing email που περιείχε ένα κακόβουλο link. Το link έδωσε την αρχική πρόσβαση στο OT δίκτυο του οργανισμού.
Οι εργασίες σταμάτησαν για δύο μέρες
Η CISA λέει ότι μετά την διείσδυση στο δίκτυο, οι επιτιθέμενοι το μόλυναν με ένα ransomware payload και κρυπτογράφησαν τα δεδομένα του οργανισμού.
Μετά από την ransomware επίθεση, τα επηρεαζόμενα IT και OT συστήματα δεν ήταν “ικανά να διαβάζουν και να συγκεντρώνουν επιχειρησιακά δεδομένα σε πραγματικό χρόνο”.
Η ransomware επίθεση δεν επηρέασε κανέναν προγραμματιζόμενο λογικό ελεγκτή (PLC) στα δίκτυα, καθώς το κακόβουλο πρόγραμμα μόλυνε μόνο Windows συσκευές.
Οι ειδικοί αποφάσισαν να εφαρμόσουν σκόπιμα μια ελεγχόμενη διακοπή λειτουργίας των συστημάτων. Η διακοπή διήρκεσε περίπου δύο ημέρες, με αποτέλεσμα την απώλεια παραγωγής και εσόδων.
Ο οργανισμός που επηρεάστηκε από τη ransomware επίθεση ήταν σε θέση να λάβει άλλο εξοπλισμό και να φορτώσει τα last-known-good configurations, τα οποία βοήθησαν στην ευκολότερη ανάκαμψη της εταιρείας.
Επίσης, “οι επιτιθέμενοι δεν απέκτησαν ποτέ τη δυνατότητα να ελέγχουν ή να χειρίζονται δραστηριότητες”, λέει η CISA. Ωστόσο, το θύμα δεν είχε φροντίσει να διαχωρίσει το IT από το OT δίκτυο, επιτρέποντας στους επιτιθέμενους να περάσουν σε όλα τα συστήματα και να κρυπτογραφήσουν τα δεδομένα.
Αν και οι άμεσες επιπτώσεις της ransomware επίθεσης περιορίστηκαν σε μία μονάδα ελέγχου, οι εγκαταστάσεις συμπίεσης φυσικού αερίου σταμάτησαν να λειτουργούν και σε άλλες περιοχές, λόγω της σύνδεσης των αγωγών.
Η CISA δεν αναφέρει ακριβώς ποιοι τομείς θεωρούνται κρίσιμοι για τις ΗΠΑ. Ωστόσο, το site της DHS αναφέρει τους ακόλουθους τομείς ως ζωτικής σημασίας:
- Τομέας χημικής τεχνολογίας
- Τομέας Εμπορικών Εγκαταστάσεων
- Τομέας Επικοινωνιών
- Φράγματα
- Τομέας Άμυνας
- Τομέας υπηρεσιών έκτακτης ανάγκης
- Τομέας Ενέργειας
- Τομέας Χρηματοοικονομικών Υπηρεσιών
- Τομέας Τροφίμων και Γεωργίας
- Τομέας Κυβερνητικών Εγκαταστάσεων
- Τομέας Υγείας και Δημόσιας Υγείας
- Τομέας Πληροφορικής
- Πυρηνικοί αντιδραστήρες, υλικά και απόβλητα
- Τομέας Μεταφορών
- Τομέας Συστημάτων Νερού και Λυμάτων
Σύμφωνα με τη DHS, η καταστροφή ή η παραβίαση αυτών των υποδομών “θα είχε μεγάλη επίδραση στην ασφάλεια, την εθνική οικονομική ασφάλεια, την εθνική δημόσια υγεία ή ασφάλεια ή και σε όλα αυτά μαζί.
Προηγούμενες προειδοποιήσεις της κυβέρνησης για ransomware επιθέσεις
Το FBI είχε προειδοποιήσει τους οργανισμούς για τα LockerGoga και MegaCortex ransomware.
“Από τον Ιανουάριο του 2019, το ransomware LockerGoga έχει στοχεύσει μεγάλες εταιρείες και οργανισμούς στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, τη Γαλλία, τη Νορβηγία και την Ολλανδία”, δήλωσε το FBI.
“Το ransomware MegaCortex, το οποίο εντοπίστηκε για πρώτη φορά τον Μάιο του 2019, στοχεύει παρόμοιες εταιρείες με το LockerGoga”.
Η αμερικανική ομοσπονδιακή υπηρεσία επιβολής του νόμου είχε δημοσιεύσει μια λίστα με μέτρα αντιμετώπισης μιας ransomware επίθεσης. Το πιο σημαντικό είναι η τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων και η διατήρηση τους και offline.
Αν έχετε αντίγραφα ασφαλείας, τα ransomware δεν αποτελούν απειλή, αφού μπορείτε να επαναφέρετε μόνοι σας τα δεδομένα σας.
Με πληροφορίες από: secnews.gr
