دفع هجوم رانسومواري ضد شبكات خط الأنابيب الاستعمارية إلى إدارة سلامة شركة النقل في الولايات المتحدة (FMCSA) لإصدار أ إعلان الطوارئ الإقليمي في 17 ولاية ومقاطعة كولومبيا (DC).
يوفر الإعلان إعفاءًا مؤقتًا للأجزاء من 390 إلى 399 من لوائح سلامة شركة النقل الحركية الفيدرالية (FMCSRS) ، والسماح بنقل البديل للبنزين والديزل والمنتجات البترولية المكررة لمعالجة نقص العرض الناجم عن الهجوم.
وقال التوجيه “مثل هذه الطوارئ استجابة للإغلاق غير المتوقع لنظام خطوط الأنابيب الاستعمارية بسبب مشكلات الشبكة التي تؤثر على إمدادات البنزين والديزل والوقود النفاث وغيرها من المنتجات البترولية المكررة في جميع أنحاء الولايات المتأثرة”. “يعالج هذا الإعلان ظروف الطوارئ مما يخلق الحاجة إلى نقل فوري للبنزين والديزل والوقود النفاث وغيرها من المنتجات البترولية المكررة ويوفر الإغاثة اللازمة.”
الولايات والولايات القضائية المتأثرة بخط الأنابيب أغلقت وإدراجها في إعلان الطوارئ هي ألاباما ، أركنساس ، مقاطعة كولومبيا ، ديلاوير ، فلوريدا ، جورجيا ، كنتاكي ، لويزيانا ، ماريلاند ، ميسيسيبي ، نيو جيرسي ، نيويورك ، نورث كارولينا ، بنسلفانيا ، ساوث كارولينا ، تينيسي ، وتينينيس ، و.
من المتوقع أن تكون الإعفاءات ، التي تهدف إلى تخفيف أي اضطرابات في العرض قد تنشأ نتيجة لوقف عمليات خطوط الأنابيب الاستعمارية ، سارية حتى نهاية الطوارئ أو 8 يونيو 2021 ، 11:59 مساءً ، أيهما كان سابقًا.
FBI يؤكد Darkside Ransomware
ويأتي هذا التطور في منصب مكتب التحقيقات الفيدرالي الأمريكي (FBI) مؤكد تم تنظيم إغلاق أحد أكبر خطوط الأنابيب في البلاد خلال عطلة نهاية الأسبوع بواسطة Darkside Ransomware. أجبرت الهجوم الإلكتروني الشركة على إيقاف 5500 ميل من خط أنابيب الوقود من مدينة تكساس في هيوستن إلى ميناء نيويورك ، مما أثار مخاوف بشأن تعرض البنية التحتية للطاقة الأمريكية إلى الهجمات الإلكترونية.
“خط الأنابيب الاستعماري يواصل العمل بالشراكة مع خبراء الأمن السيبراني من طرف ثالث ، وإنفاذ القانون ، وغيرها من الوكالات الفيدرالية لاستعادة عمليات خطوط الأنابيب بسرعة وأمان” ، خط الأنابيب الاستعمارية قال في بيان. “على الرغم من أن هذا الموقف يظل سائلًا ويستمر في التطور ، فإن فريق العمليات الاستعمارية ينفذ خطة تتضمن عملية تدريجية تسهل العودة إلى الخدمة في نهج تدريجي.”
بينما حكومة الولايات المتحدة يوم الاثنين قال لم يكن هناك أي دليل على أن روسيا شاركت في هجوم رانسومبرات خطوط الأنابيب الاستعمارية ، أصدر مشغلو رانسومبرات Darkside بيانًا على موقع الابتزاز المظلم على الويب ، متعهدين بأنها تعتزم فحص الشركات الشركات التابعة لها التي تستهدف المضي قدمًا في “تجنب العواقب الاجتماعية في المستقبل”.
“نحن غير سياسيين ، لا نشارك في الجغرافيا السياسية ، ولا نحتاج إلى ربطنا بحكومة محددة ونبحث عن دوافعنا الأخرى ،” قالت عصابة الجرائم الإلكترونية ، مضيفًا ، “هدفنا هو كسب المال ، وعدم خلق مشاكل للمجتمع”.
Darkside كحملة رانسومبرات عنكبوت الكربون
الخصم ، الذي يزعم أنه تسرب البيانات المتعلقة على الأقل 91 منظمة منذ بدء العمليات في أغسطس 2020 ، يعمل نظام Ransomware-As-A-Service (RAAS) ، حيث يتم شركاء الشركاء لتوسيع المشروع الجنائي من خلال خرق شبكات الشركات ونشر البرامج الفدية ، بينما يتولى المطورون الأساسيون تحمل استحسان الدفعة والدفع. تتلقى الشركات التابعة عادة 60 ٪ إلى 70 ٪ من العائدات ، ويكسب المطورون الباقي.
من بين الضحايا الذين نُشرت بياناتها الداخلية على موقع تسرب البيانات في Darkside ، توجد شركات نفطات وغاز أخرى مثل Forbes Energy Services و Gyrodata ، وكلاهما يقع في تكساس. وفق CrowdStrike، يُعتقد أن Darkside هو العمل اليدوي لممثل التهديد الذي يدافع ماليًا عنكبوت الكربون (AKA Anunak ، Carbanak ، أو Fin7) ، الذي حُكم عليه مؤخرًا مدير ومدير أنظمة على مستوى رفيع المستوى بالسجن لمدة 10 سنوات في الولايات المتحدة
“The Darkside Group هي لاعب جديد نسبيًا في لعبة Ransomware. على الرغم من كونه مجموعة جديدة ، على الرغم من أن فريق Darkside قام بالفعل ببناء نفسه بشكل كبير لجعل عملياتهم أكثر احترافًا وتنظيمًا” قال الشهر الماضي. “لدى المجموعة رقم هاتف وحتى مكتب مساعدة لتسهيل المفاوضات مع الضحايا ، ويبذلون جهدًا كبيرًا لجمع معلومات حول ضحاياهم – ليس فقط المعلومات الفنية حول بيئتهم ، ولكن المزيد من المعلومات العامة حول الشركة نفسها ، مثل حجم المنظمة وإيراداتها المقدرة.”
قائلاً إن متغير RAAS هو أحدث منتج ينضم إلى الاتجاه المتزايد للمهاجمة الفدية ، ودعا شركة الأمن السيبراني Digital Shadows تاريخ Darkside لإصدار إصدارات الصحافة على غرار الشركات في مجال TOR ، ووصفت نموذج أعمالها “A”Ransomware-as-a-corporation“(راك).
تعتبر حادث خط الأنابيب الاستعماري أحدث الهجوم الإلكتروني لمواجهة الحكومة الأمريكية في الأشهر الأخيرة ، في أعقاب الاختراقات من Solarwinds من قبل عملاء الاستخبارات الروسية واستغلال نقاط الضعف في Microsoft Exchange Server من قبل فاعلات التهديد الصينية.
وقال لوتم فينكلستين رئيس شركة Check Point ، “إن إنزال عمليات واسعة النطاق مثل خط الأنابيب الاستعمارية يكشف عن هجوم إلكتروني متطور ومصمم جيدًا”. “يتطلب هذا الهجوم أيضًا إطارًا زمنيًا مناسبًا للسماح بالحركة الجانبية وبهجة البيانات. من المعروف أن Darkside جزء من اتجاه هجمات الفدية التي تنطوي على أنظمة نادراً ما يرى المجتمع السيبراني مشاركًا في الشبكة المخاطرة ، مثل خوادم ESXI. وهذا يؤدي إلى شكوك في أن شبكة ICS (أنظمة تحتية حرجة) كانت متورطة.”
تحديث: في أعقاب هجوم Darkside Ransomware الذي أجبر Colonial على إيقاف تدفق الوقود من خلال خطوط الأنابيب خلال عطلة نهاية الأسبوع ، فإن وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) يوم الثلاثاء المنشورة استشاري جديد يحث على اتباع أفضل الممارسات الأمنية لمنع الاضطرابات ، بما في ذلك تنفيذ تجزئة الشبكة القوية بين شبكات OT و OT ؛ بانتظام اختبار الضوابط اليدوية. والتأكد من أن النسخ الاحتياطية تؤخذ بشكل دوري وعزلها من اتصالات الشبكة.
وقالت الوكالة: “لا يشجع CISA ومكتب التحقيقات الفيدرالي على دفع فدية للجهات الفاعلة الإجرامية”. “قد يؤدي دفع فدية إلى حد ما إلى خصوم لاستهداف المنظمات الإضافية ، وتشجيع الجهات الفاعلة الإجرامية الأخرى على الانخراط في توزيع الفدية ، و/أو قد تمول أنشطة غير مشروعة. إن دفع الفدية أيضًا لا يضمن استرداد ملفات الضحية.”
