Американский трубопровод разблокировали за 5 миллионов долларов
Компания-оператор американской системы трубопроводов Colonial Pipeline не смогла самостоятельно справиться с последствиями хакерской атаки 7 мая, парализовавшей работу трубопроводов, сообщило агентство Bloomberg. Хакеры получили 5 млн. криптовалютных долларов и передали взамен инструменты, способные дешифровать закодированные данные. Однако дешифровка шла так медленно, что в США начался топливный кризис, а президент объявил чрезвычайное положение. Трубопроводы сумели запустить только через пять дней после атаки.
Вездесущие русские хакеры
Сразу после остановки трубопроводов в США подорожал бензин
Последние галлоны бензина ещё поступали на север США (Colonial Pipeline транспортирует нефтепродукты из Техаса миллионами тонн), а власти уже заговорили о русских хакерах, действующих по приказам из Кремля. Чуть позже, правда, риторику смягчили – хакеры могли находиться на территории России, но с правительством не связаны.
Взлом произвела группировка DarkSide, косвенно подтвердившая это на своём сайте. Как и о любой порядочной преступной группе, о DarkSide неизвестно почти ничего. Участники группировки действительно взламывают ресурсы крупных коммерческих структур и восстанавливают их работу за деньги. Часть полученных средств они передают на благотворительность, публикуя скриншоты транзакций. И третий достоверный факт – вирусы DarkSide не атакуют компьютеры, в которых есть русская раскладка клавиатуры. Никаких других данных о хакерах нет.
Как это делается
Сразу после сообщений об атаке на Colonial Pipeline её начали комментировать многочисленные эксперты по безопасности. Их объяснения сводились к тривиальным утверждениям: нужно вводить многофакторную аутентификацию; сводить к минимуму точки удалённого доступа; открывать сотрудникам доступ только к той информации, которая нужна на их должностях; использовать комплексные системы мониторинга.
Вирус DarkSide попал в сеть Colonial Pipeline самым простым путём – через взломанную удалённо управляемую учётную запись одного из подрядчиков. Сделав свою работу, вирус сгенерировал идентификатор для оплаты на сайте DarkSide и файл readme…txt с инструкцией по переводу криптовалюты. Оператору трубопровода оставалось только заплатить.
Масштабы операций хакерской группы неизвестны. История с Colonial Pipeline сразу получила огласку – остановку трубопроводов общей длиной почти 9 000 км не скроешь. Число же компаний, владельцы которых предпочли заплатить без огласки, возможно, не знают и в самой DarkSide – у группы есть нечто вроде партнёрской программы для всех желающих. «Распространители» вирусов перечисляют группировке небольшую (до 25%) часть дохода от вымогательства.
