Το FBI και η CISA εξέδωσαν μια ειδοποίηση ασφαλείας, από κοινού, μετά την καταστροφική επίθεση στην Colonial Pipeline από το DarkSide ransomware. Η ειδοποίηση δημοσιεύθηκε χθες και παρέχει λεπτομέρειες σχετικά με την ομάδα DarkSide, που εκτελεί ένα Ransomware-as-a-Service (RaaS) δίκτυο.
Μάθετε περισσότερα: Colonial Pipeline: Ransomware επίθεση έπληξε τον μεγαλύτερο αγωγό καυσίμων των ΗΠΑ
Το DarkSide είναι υπεύθυνο για την πρόσφατη επίθεση στην Colonial Pipeline. Την περασμένη εβδομάδα, η εταιρεία διαχείρισης του μεγαλύτερου αγωγού μεταφοράς καυσίμων στις ΗΠΑ, είπε ότι μια επίθεση στον κυβερνοχώρο την ανάγκασε να σταματήσει τις εργασίες και να θέσει εκτός λειτουργίας τα IT συστήματά της για να μην εξαπλωθεί το malware.
Το FBI ασχολείται με την υπόθεση, αφού μιλάμε για μια επίθεση σε κρίσιμη υποδομή της χώρας.
Δείτε επίσης: FBI/ACSC: Οι επιθέσεις του Avaddon ransomware αυξάνονται ανησυχητικά
“Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν το DarkSide για να αποκτήσουν πρόσβαση στο δίκτυο ενός θύματος και να κρυπτογραφήσουν και να κλέψουν δεδομένα“, αναφέρει η ειδοποίηση. “Αυτές οι ομάδες απειλούν στη συνέχεια να εκθέσουν τα δεδομένα, εάν το θύμα δεν πληρώσει τα λύτρα. Οι ομάδες που εκμεταλλεύονται το DarkSide έχουν στοχεύσει πρόσφατα οργανισμούς σε διάφορους τομείς, όπως: κατασκευές, νομικές και ασφαλιστικές εταιρείες, υγειονομική περίθαλψη και ενέργεια“.
Το DarkSide ransomware παρέχεται σε πελάτες RaaS. Αυτό το “cybercriminal model” είναι αρκετά δημοφιλές, καθώς απαιτεί μόνο μια βασική ομάδα για την ανάπτυξη κακόβουλου λογισμικού, το οποίο στη συνέχεια μπορεί να διανεμηθεί σε άλλους εγκληματίες.
Δείτε επίσης: Κι άλλη αμερικανική πόλη θύμα ransomware επίθεσης
Στις υπηρεσίες RaaS, οι δημιουργοί παρέχουν σε άλλους το malware/ransomware και πληρώνονται με ένα συγκεκριμένο ποσό ή παίρνουν ποσοστό από τα λύτρα που λαμβάνουν οι εγκληματίες που έχουν χρησιμοποιήσει το ransomware. Οι προγραμματιστές συνεχίζουν να βελτιώνουν το “προϊόν” κακόβουλου λογισμικού τους.
Υποτίθεται ότι οι χειριστές του DarkSide, το παρέχουν σε πελάτες-εγκληματίες που δεν στοχεύουν οργανισμούς ιατρικής περίθαλψης, νοσοκομεία ή παρόχους φροντίδας. Οι χειριστές του Darkside έχουν αποστασιοποιηθεί από την επίθεση στην Colonial Pipeline (επειδή είναι βασικός πάροχος καυσίμων της χώρας) και έχουν κατηγορήσει τους συνεργάτες τους για την επίθεση, χωρίς να δώσουν περισσότερες λεπτομέρειες.
“Στόχος μας είναι να κερδίσουμε χρήματα και όχι να δημιουργούμε προβλήματα για την κοινωνία“, δήλωσε η συμμορία DarkSide.
Το FBI και η CISA προτείνουν, επίσης, κάποιες πρακτικές για την πρόληψη ή τον μετριασμό της απειλής του ransomware, ειδικά για τους οργανισμούς που σχετίζονται με κρίσιμες υποδομές.
Μεταξύ άλλων, συμβουλεύουν τους οργανισμούς να είναι συνεχώς σε επαγρύπνηση και να ελέγχουν τα συστήματά τους, ενώ απαραίτητη είναι η τμηματοποίηση δικτύου αλλά και η δημιουργία αντιγράφων ασφαλείας.
Επιπλέον συμβουλές:
- Έλεγχος ταυτότητας πολλαπλών παραγόντων
- Spam filters για το μετριασμό του phishing, network traffic filters
- Εκπαίδευση και ευαισθητοποίηση εργαζομένων σε θέματα κυβερνοασφάλειας
- Τακτικές ενημερώσεις συστημάτων
- Υλοποίηση ελέγχων ασφαλείας, εκτίμηση κινδύνων
- RDP restrictions
“Η CISA και το FBI δεν ενθαρρύνουν την πληρωμή των λύτρων σε εγκληματίες“, πρόσθεσαν οι οργανισμοί. “Η πληρωμή λύτρων μπορεί να ενθαρρύνει τους αντιπάλους να στοχεύουν πρόσθετους οργανισμούς, να ενθαρρύνουν άλλους εγκληματίες να συμμετέχουν στη διανομή ransomware ή / και να χρηματοδοτούν παράνομες δραστηριότητες. Η πληρωμή των λύτρων δεν εγγυάται την ανάκτηση των αρχείων του θύματος“.
Πηγή: ZDNet
