Hoe Colonial Pipeline met een ransomware-aanval omging

De recente ransomware-aanval op Colonial Pipeline, het bedrijf dat het pijpleidingennet beheert dat brandstof levert aan een groot gedeelte van de oostkust van de VS, is een van de meest spraakmakende gevallen die we hebben gezien. Begrijpelijkerwijs zijn de details van de aanval niet openbaar gemaakt, maar enkele flarden informatie hebben hun weg gevonden naar de media, en daaruit kunnen we ten minste één les trekken: het op tijd informeren van de rechtshandhavingsdiensten kan de schade beperken. Niet iedereen heeft natuurlijk een keuze, want in sommige staten zijn slachtoffers verplicht om de autoriteiten hierover te informeren, maar zelfs als het niet verplicht is, kan dit een goed idee zijn.

De aanval

Op 7 mei werd Colonial Pipeline, een bedrijf dat verantwoordelijk is voor de grootste pijpleiding voor brandstof aan de oostkust van de VS, door ransomware getroffen. Werknemers moesten een aantal informatiesystemen offline halen, deels omdat sommige computers waren versleuteld en deels om te voorkomen dat de infectie zich verder zou verspreiden. Dit zorgde voor vertragingen in de levering van brandstof aan de oostkust, wat voor een toename van 4% in benzineprijzen zorgde. Om de schade te beperken is het bedrijf van plan om de leveringen van brandstof op te voeren.

Het bedrijf is nog bezig met het herstel van de systemen, maar volgens bronnen op het Zero Day-blog zit het probleem niet zozeer in de servicenetwerken, maar eerder in het factureringssysteem.

Federale lockdown

Moderne ransomware-operators versleutelen niet alleen gegevens en vragen om losgeld om deze vrij te geven, maar stelen tevens informatie als pressiemiddel om slachtoffers af te persen. In het geval van Colonial Pipeline hevelden de aanvallers ongeveer 100 GB aan gegevens van het bedrijfsnetwerk over.

Volgens de Washington Post ontdekten externe onderzoekers van het incident echter snel wat er was gebeurd en waar de gestolen gegevens zich bevonden, en er werd vervolgens contact opgenomen met de FBI. De FBI benaderde toen de ISP die eigenaar van de server was waar de geüploade informatie opstond, en zorgde ervoor dat deze geïsoleerd werd. Het resultaat was dat de cybercriminelen toegang tot de van Colonial Pipeline gestolen informatie kwijtraakten, dus dit verzachtte in elk geval enigszins de schade van het bedrijf.

Het betekent niet dat het bedrijf de belangrijkste pijpleidingen weer online krijgt, maar de schade had nog veel hoger kunnen uitvallen.

Toekenning

Het lijkt erop dat het bedrijf werd aangevallen door DarkSide-ransomware, die op zowel Windows als Linux kan draaien. Kaspersky-producten detecteren deze ransomware als Trojan-Ransom.Win32.Darkside en Trojan-Ransom.Linux.Darkside. DarkSide maakt gebruik van sterke encryptie-algoritmes, waardoor het herstellen van gegevens zonder de juiste sleutel onmogelijk is.

Op het eerste gezicht lijkt de DarkSide-groep een aanbieder van online diensten te zijn, inclusief helpdesk, PR-afdeling en perscentrum. Een bericht op de website van de aanvaller vermeldt dat hun motivatie voor de aanval financieel en niet politiek was.

De DarkSide-groep gebruikt een ransomware-as-a-service-model, waarbij de software en benodigde infrastructuur aan partners wordt aangeboden om de aanvallen uit te voeren. Een van deze partners was verantwoordelijk voor de aanval op Colonial Pipeline. Volgens DarkSide was het niet de bedoeling van de groep om zo’n ernstige maatschappelijke consequenties te veroorzaken, en daarom zullen ze in de toekomst beter kijken naar welke slachtoffers hun “tussenpersonen” uitkiezen, maar het is moeilijk om zo’n verklaring in een lange lijst met PR-trucs serieus te nemen.

Zo blijft u beschermd

Om uw bedrijf tegen ransomware te beschermen, raden onze experts het volgende aan:

• Verbied onnodige verbindingen met remote desktop services (zoals RDP) vanaf openbare netwerken, en gebruik altijd sterke wachtwoorden voor dit soort diensten;
• Installeer alle beschikbare patches voor VPN-oplossingen die u gebruikt om werknemers op afstand verbinding te laten maken met het bedrijfsnetwerk;
• Update de software op alle verbonden apparaten om het benutten van kwetsbaarheden te voorkomen;
• Focus bij uw verdedigingsstrategie op het detecteren van laterale bewegingen en exfiltratie van gegevens, met speciale aandacht voor al het uitgaande verkeer;
• Maak regelmatig back-ups en zorg ervoor dat u in noodgevallen onmiddellijk toegang hebt tot deze back-ups;
• Maak gebruik van gegevens over dreigingsinformatie om up-to-date te blijven op het gebied van aanvalstactieken, -technieken en -procedures;
• Gebruik beveiligingsoplossingen zoals Kaspersky Endpoint Detection and Response en Kaspersky Managed Detection and Response om aanvallen vroeg een halt toe te roepen;
• Train werknemers zodat ze rekening houden met de beveiliging van de bedrijfsomgeving;
• Gebruik een betrouwbare oplossing voor endpoint-beveiliging die exploits tegengaat, afwijkend gedrag detecteert en schadelijke wijzigingen kan terugdraaien en het systeem kan herstellen.

Het voorbeeld van Colonial Pipeline toont aan dat het (vroegtijdig) contacteren van wetshandhavingsinstanties kan helpen. Er bestaat natuurlijk geen garantie dat ze kunnen helpen, maar het kan de schade aanzienlijk beperken.