Търсене
Close this search box.

2 години след инцидента с Colonial Pipeline САЩ не са готови за рансъмуер

Широкообхватните промени, въведени след кибератаката от май 2021 г., помагат, но според експерти по сигурността трябва да се свърши още работа.

С наближаването на втората годишнина от масираната атака над Colonial Pipeline с цел получаване на откуп, експертите предупреждават, че усилията за осуетяване на потенциално разрушителната заплаха за критичната инфраструктура на САЩ не са били достатъчни.

Кибератаката срещу ИТ инфраструктурата на компанията принуди Colonial Pipeline да спре цялата си дейност за първи път в историята, предизвиквайки недостиг на гориво и повишаване на цените, което накара четири американски щата по Източното крайбрежие да обявят извънредно положение. Инцидентът незабавно издигна рансъмуера до заплаха от ниво национална сигурност и предизвика съгласувани действия от изпълнителната власт надолу.

След тази атака – и друга, извършена скоро след това срещу JBS, която доведе до  недостиг на месо в страната – правителството на САЩ заяви, че ще третира използването на ransomware върху критична инфраструктура като тероризъм. Изпълнителна заповед, подписана от президента Байдън само няколко дни след атаката на Colonial Pipeline, наложи нови изисквания за сигурност на организациите от критичната инфраструктура. На федерално равнище и от страна на регулаторните органи бяха предприети и множество други инициативи за повишаване на устойчивостта на атаките срещу критичната инфраструктура на САЩ.

Въпреки това две години по-късно заплахата от ransomware за критичната инфраструктура остава висока, както показа неотдавнашната атака срещу най-големия американски доставчик на хладилни складове Americold. Атаката – подобно на тази срещу Colonial Pipeline – принуди Americold да спре операциите по студено съхранение, докато работи за отстраняване на заплахата. Миналата година 870 от 2385-те оплаквания за ransomware, които ФБР е получило, са били свързани с организации от критичната инфраструктура. Данните на ФБР показват, че в 14 от 16-те определени сектора на критичната инфраструктура е имало поне една жертва на ransomware.

Тенденцията се запазва с неотслабваща сила и през 2023 г: Докладът на BlackFog за състоянието на рансъмуера за април 2023 г. показа, че атаките с рансъмуер срещу  правителството и здравния сектор продължават да нарастват, въпреки че други доставчици съобщават за забавяне на обема на атаките.

Незавършени дела

Експертите по сигурността разглеждат ситуацията като такава, при която въпреки свършената досега работа има още много за правене.

Тереза Пейтън, главен изпълнителен директор на Fortalice Solutions и бивш главен информационен директор на Изпълнителното бюро на президента в Белия дом, изброява няколко мерки от Colonial Pipeline насам, които смята за положителни стъпки в борбата срещу ransomware. Сред тях са Изпълнителна заповед 14028 на президента Байдън за подобряване на киберсигурността на нацията, Меморандум за национална сигурност 5, насочен специално към системите за контрол на критичната инфраструктура, и усилията за създаване на модели за киберсигурност с нулево доверие във федералните агенции съгласно М-22-09. Заслужават да се отбележат и мерки като Закона за докладване на киберинциденти за критичната инфраструктура и разпоредбите за киберсигурност в двупартийния законопроект за инфраструктурата.

Систематичното разбиване от ФБР на силно разрушителната група Hive ransomware е друг показател за напредък, казва Пейтън.

Това, което е необходимо сега, обяснява тя, са по-конкретни директиви за организациите от критичната инфраструктура. „Трябва да развием минималните изисквания за киберсигурност за критичните сектори [и да подобрим] стандартите за удостоверяване и доказване на самоличността, за да предотвратим възникването на инциденти с рансъмуер“, казва тя.

„Организациите от критичната инфраструктура като Colonial Pipeline трябва да възприемат принципите на нулевото доверие, за да предотвратят атаките с ransomware, особено след като социалното инженерство става все по-реалистично, изтънчено, устойчиво и сложно“, казва Пейтън.

Майк Хамилтън, бивш директор по сигурността на градската управа на  Сиатъл и настоящ директор по сигурността на фирмата за киберсигурност Critical Insight, казва, че атаката на Colonial Pipeline е разкрила липсата на добри процедури сред операторите на американска инфраструктура за възстановяване след сериозна кибератака.

„След като Colonial спря работата на тръбопровода от излишна предпазливост, им отне твърде много време да започнат отново, което удължи съществуващия проблем с доставките на гориво“, казва той. „Това е проблем на устойчивостта. Трябва да можете да поемете удар и да се измъкнете, преди да е свършила атаката.“

По-скъпи атаки с рансъмуер

През двете години след инцидента с тръбопровода Colonial Pipeline американските правителствени организации са работили за това атаките с рансъмуер да станат по-трудни и по-скъпи за нападателите, отбелязва Хамилтън. Министерството на финансите, например, използва съществуващите правомощия на Службата за контрол на чуждестранните активи (OFAC), за да забрани използването на криптоборси за плащания при изнудване. Министерството на правосъдието на САЩ също е по-агресивно в проактивното унищожаване на престъпната инфраструктура и задържането на престъпници.

Занапред акцентът трябва да бъде поставен върху защитата и премахването на престъпната инфраструктура, казва той. Идентифицирайте и санкционирайте престъпниците за евентуално залавяне и лишаване от свобода и забранете на жертвите на ransomware да извършват плащания, казва Хамилтън.

Американската агенция за киберсигурност и инфраструктура (CISA) също играе активна роля в това да накара федералните агенции да засилят защитата срещу ransomware и други киберзаплахи.

Каталогът на агенцията „Известни експлоатирани уязвимости“ например изисква от всички граждански правителствени агенции да поправят уязвимости, които се експлоатират активно, в рамките на определен срок – обикновено две седмици – за да се сведе до минимум излагането на киберзаплахи. Неотдавна CISA стартира пилотна програма за предупреждаване за уязвимост на рансъмуер (Ransomware Vulnerability Warning Pilot – RVWP), за да предупреждава организациите в секторите на критичната инфраструктура за системи с уязвимости в тях, които нападател с рансъмуер може да използва. През март 2023 г. CISA стартира свързаната с нея инициатива за предварително уведомяване за рансъмуер, в рамките на която предупреждава организациите за  рансъмуер банди в техните мрежи, за да могат да отстранят заплахата, преди да се стигне до криптиране на данни.

Програмите са част от Съвместното сътрудничество за киберзащита (JCDC) на CISA, чрез което агенцията получава съвети и информация за заплахи от изследователи в областта на киберсигурността и фирми за разузнаване на заплахи.

„CISA призна заплахата от ransomware за критичната инфраструктура“, казва Мариано Нунес, главен изпълнителен директор и съосновател на Onapsis. От началото на годината те вече са сигнализирали на над 60 организации от секторите на здравеопазването, комуналните услуги и други сектори за потенциални заплахи от прерансъмуер в техните мрежи, казва той.

Рансъмуерът  продължава да съществува

Подобна помощ е жизненоважна, тъй като атаките с рансъмуер срещу критичната инфраструктура се увеличават, казва Нунес.

„Повърхността на атаките ще продължи да нараства, тъй като комуналните услуги и критичната инфраструктура стават все по-свързани или взаимосвързани онлайн“, отбелязва той. „Преминаването към облака също може да създаде някои проблеми, тъй като тази промяна може да затрудни навременното наблюдение на активните заплахи и оценката на уязвимостите.“

Един от факторите, който може да усложни усилията за справяне с проблема с рансъмуера, е нарастващата тенденция на жертвите да отлагат докладването на инцидента или да го прикриват изцяло, ако е възможно.

Според BlackFog проучванията на компанията показват, че организациите, загрижени за потенциалните щети върху техните марки, репутация и отношения с клиентите, отлагат, а понякога и не съобщават за инцидент с ransomware.

„Сега виждаме, че повече от 90% от всички атаки вече не криптират устройствата на жертвата, а просто ексфилтрират данните с цел изнудване“, казва Дарън Уилямс, главен изпълнителен директор и основател на BlackFog. „Разходите, свързани с излагането на риск, са просто твърде високи; загубата на бизнес, възстановяването, регулаторните глоби и колективните искове са само част от проблемите, с които трябва да се справяме.“

Източник: DARKReading

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
23/07/2024

Всичко за Закона за онлайн ...

За последен път Конгресът прие закон...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
23/07/2024

Гърция пребори успешно въл...

Агенцията за поземлен регистър в Гърция...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!