Deel van het losgeld terug
Het ministerie van Justitie (DOJ) is erin geslaagd een deel van het losgeld terug te krijgen dat is betaald aan de criminele hackgroep die vermoedelijk verantwoordelijk is voor de aanval op de koloniale pijpleiding, die in mei ongeveer een week lang een grote brandstoftoevoer naar de oostkust verstoorde. .
Plaatsvervangend procureur-generaal Lisa O. Monaco kondigde op 7 juni aan dat het DOJ, via zijn nieuwe Ransomware en Digital Extortion Task Force, ongeveer 64 van de 75 bitcoins die aan de aanvallers waren betaald, kon terugkrijgen door "het geld te volgen" - hoewel het geld was in moeilijk te traceren cryptocurrency. Toen het eenmaal het adres van de portemonnee van de hackers kende, kon het een gerechtelijk bevel krijgen om het geld erin in beslag te nemen. De FBI had blijkbaar de digitale sleutel die nodig was om de portemonnee te openen. Hoe het die toegang heeft gekregen, is niet openbaar gemaakt. De inbeslagname is een zeldzaam voorbeeld van het terugvorderen van ransomware-betalingen.
Criminele hackersgroep DarkSide
De aanval wordt toegeschreven aan DarkSide, een criminele hackersgroep in Oost-Europa. De pijpleiding, die ongeveer de helft van de benzine aan de oostkust levert, lag enkele dagen plat, wat in sommige staten tot paniekaankopen, tekorten en prijspieken leidde. Het lijkt de grootste cyberaanval ooit op een Amerikaans energiesysteem te zijn en nog een ander voorbeeld van cyberbeveiligingskwetsbaarheden die president Joe Biden heeft beloofd aan te pakken.
The Colonial Pipeline Company meldde op 7 mei dat het het slachtoffer was van een "cybersecurity-aanval" waarbij "ransomware betrokken was", waardoor het bedrijf gedwongen werd enkele systemen offline te halen en de pijplijn uit te schakelen. Het in Georgia gevestigde bedrijf zegt dat het de grootste petroleumpijpleiding in de Verenigde Staten exploiteert, met 2,5 miljoen vaten benzine, diesel, stookolie en vliegtuigbrandstof per dag op zijn 5500 mijl lange route van Texas naar New Jersey.
De pijpleiding levert bijna de helft van de brandstofvoorraad aan de oostkust, en een langdurige sluiting zou prijsstijgingen en tekorten in de industrie hebben veroorzaakt. Dit werd grotendeels voorkomen toen de pijplijn binnen een week weer online kwam, maar prijsstijgingen en tekorten deden zich toch voor, grotendeels als gevolg van paniek in plaats van aanbod. Vijf dagen nadat de hack was aangekondigd, was de nationale gemiddelde prijs voor een gallon regulier gas voor het eerst sinds 2014 boven de $ 3 gestegen (hoewel de gasprijzen al aan het stijgen waren voordat de pijpleiding werd stilgelegd), met grotere sprongen in sommige staten de pijpleiding bedient, waaronder Georgië, de Carolinas en Virginia. De Georgische gouverneur Brian Kemp heeft de gasbelasting van de staat tijdelijk opgeschort om de gestegen prijzen te compenseren. Andere staten voeren wetten op het uithollen van prijzen in.
Brandstoftekort door hackers
"Het is waarschijnlijker dat brandstoftekorten het gevolg zijn van paniekaankopen van consumenten die de krantenkoppen zien verschijnen, in tegenstelling tot tekorten die rechtstreeks door de aanval worden veroorzaakt", Marty Edwards, voormalig directeur van industriële controlesystemen voor CISA en vice-president van operationele technologie beveiliging voor Tenable, vertelde Recode. “Dit is iets dat we zagen bij Covid en supermarkten die huishoudelijke artikelen verkopen. Hoe dan ook, het toont de impact die cybersecurity heeft op ons dagelijks leven.”
"Het is veel gemakkelijker om de impact van een cyberaanval te begrijpen als deze rechtstreeks van invloed is op uw dagelijkse leven", voegde hij eraan toe.
De FBI heeft bevestigd dat DarkSide verantwoordelijk is voor de aanslagen. DarkSide lijkt niet verbonden te zijn met natiestaten, en zegt in een verklaring dat "ons doel is om geld te verdienen [niet om] problemen voor de samenleving te creëren" en dat het apolitiek is. DarkSide beweerde dat het werd afgesloten in de nasleep van de pijpleidingaanval.
Volgens cybersecuritybedrijf Check Point levert DarkSide zijn ransomwarediensten echter aan zijn partners. "Dit betekent dat we heel weinig weten over de echte dreigingsactor achter de aanval op Colonial, die een van de partners van DarkSide kan zijn", vertelde Lotem Finkelstein, hoofd bedreigingsinformatie van Check Point, aan Recode. "Wat we wel weten, is dat het uitschakelen van uitgebreide operaties zoals de koloniale pijpleiding een geavanceerde en goed ontworpen cyberaanval onthult."
Colonial erkende op 19 mei dat het inderdaad $ 4,4 miljoen aan bitcoin heeft betaald (wat nu aanzienlijk minder waard is - hoewel de DOJ 64 bitcoins kon herstellen, zijn ze nu slechts $ 2,3 miljoen waard). CEO Joseph Blount vertelde de Wall Street Journal dat het betalen van het losgeld een moeilijke beslissing was, maar een die volgens hem "het juiste was om te doen voor ons land".
Blount voegde eraan toe dat het Colonial veel meer zal kosten - tientallen miljoenen dollars - om zijn systemen de komende maanden volledig te herstellen.
Ransomware-aanvallen gebruiken over het algemeen malware om bedrijven buiten hun eigen systemen te houden totdat er losgeld is betaald. Ze zijn de afgelopen jaren enorm gestegen en hebben miljarden dollars gekost aan losgeld dat alleen is betaald - afgezien van degenen die niet worden gerapporteerd of de bijbehorende kosten voor het offline hebben van systemen totdat het losgeld is betaald. Ransomware-aanvallen hebben zich op alles gericht, van particuliere bedrijven tot de overheid tot ziekenhuizen en gezondheidszorgsystemen. Vooral deze laatste zijn aantrekkelijke doelwitten, gezien de urgentie om hun systemen weer up-to-date te krijgen