Търсене
Close this search box.

Широкообхватните промени, въведени след кибератаката от май 2021 г., помагат, но според експерти по сигурността трябва да се свърши още работа.

С наближаването на втората годишнина от масираната атака над Colonial Pipeline с цел получаване на откуп, експертите предупреждават, че усилията за осуетяване на потенциално разрушителната заплаха за критичната инфраструктура на САЩ не са били достатъчни.

Кибератаката срещу ИТ инфраструктурата на компанията принуди Colonial Pipeline да спре цялата си дейност за първи път в историята, предизвиквайки недостиг на гориво и повишаване на цените, което накара четири американски щата по Източното крайбрежие да обявят извънредно положение. Инцидентът незабавно издигна рансъмуера до заплаха от ниво национална сигурност и предизвика съгласувани действия от изпълнителната власт надолу.

След тази атака – и друга, извършена скоро след това срещу JBS, която доведе до  недостиг на месо в страната – правителството на САЩ заяви, че ще третира използването на ransomware върху критична инфраструктура като тероризъм. Изпълнителна заповед, подписана от президента Байдън само няколко дни след атаката на Colonial Pipeline, наложи нови изисквания за сигурност на организациите от критичната инфраструктура. На федерално равнище и от страна на регулаторните органи бяха предприети и множество други инициативи за повишаване на устойчивостта на атаките срещу критичната инфраструктура на САЩ.

Въпреки това две години по-късно заплахата от ransomware за критичната инфраструктура остава висока, както показа неотдавнашната атака срещу най-големия американски доставчик на хладилни складове Americold. Атаката – подобно на тази срещу Colonial Pipeline – принуди Americold да спре операциите по студено съхранение, докато работи за отстраняване на заплахата. Миналата година 870 от 2385-те оплаквания за ransomware, които ФБР е получило, са били свързани с организации от критичната инфраструктура. Данните на ФБР показват, че в 14 от 16-те определени сектора на критичната инфраструктура е имало поне една жертва на ransomware.

Тенденцията се запазва с неотслабваща сила и през 2023 г: Докладът на BlackFog за състоянието на рансъмуера за април 2023 г. показа, че атаките с рансъмуер срещу  правителството и здравния сектор продължават да нарастват, въпреки че други доставчици съобщават за забавяне на обема на атаките.

Незавършени дела

Експертите по сигурността разглеждат ситуацията като такава, при която въпреки свършената досега работа има още много за правене.

Тереза Пейтън, главен изпълнителен директор на Fortalice Solutions и бивш главен информационен директор на Изпълнителното бюро на президента в Белия дом, изброява няколко мерки от Colonial Pipeline насам, които смята за положителни стъпки в борбата срещу ransomware. Сред тях са Изпълнителна заповед 14028 на президента Байдън за подобряване на киберсигурността на нацията, Меморандум за национална сигурност 5, насочен специално към системите за контрол на критичната инфраструктура, и усилията за създаване на модели за киберсигурност с нулево доверие във федералните агенции съгласно М-22-09. Заслужават да се отбележат и мерки като Закона за докладване на киберинциденти за критичната инфраструктура и разпоредбите за киберсигурност в двупартийния законопроект за инфраструктурата.

Систематичното разбиване от ФБР на силно разрушителната група Hive ransomware е друг показател за напредък, казва Пейтън.

Това, което е необходимо сега, обяснява тя, са по-конкретни директиви за организациите от критичната инфраструктура. „Трябва да развием минималните изисквания за киберсигурност за критичните сектори [и да подобрим] стандартите за удостоверяване и доказване на самоличността, за да предотвратим възникването на инциденти с рансъмуер“, казва тя.

„Организациите от критичната инфраструктура като Colonial Pipeline трябва да възприемат принципите на нулевото доверие, за да предотвратят атаките с ransomware, особено след като социалното инженерство става все по-реалистично, изтънчено, устойчиво и сложно“, казва Пейтън.

Майк Хамилтън, бивш директор по сигурността на градската управа на  Сиатъл и настоящ директор по сигурността на фирмата за киберсигурност Critical Insight, казва, че атаката на Colonial Pipeline е разкрила липсата на добри процедури сред операторите на американска инфраструктура за възстановяване след сериозна кибератака.

„След като Colonial спря работата на тръбопровода от излишна предпазливост, им отне твърде много време да започнат отново, което удължи съществуващия проблем с доставките на гориво“, казва той. „Това е проблем на устойчивостта. Трябва да можете да поемете удар и да се измъкнете, преди да е свършила атаката.“

По-скъпи атаки с рансъмуер

През двете години след инцидента с тръбопровода Colonial Pipeline американските правителствени организации са работили за това атаките с рансъмуер да станат по-трудни и по-скъпи за нападателите, отбелязва Хамилтън. Министерството на финансите, например, използва съществуващите правомощия на Службата за контрол на чуждестранните активи (OFAC), за да забрани използването на криптоборси за плащания при изнудване. Министерството на правосъдието на САЩ също е по-агресивно в проактивното унищожаване на престъпната инфраструктура и задържането на престъпници.

Занапред акцентът трябва да бъде поставен върху защитата и премахването на престъпната инфраструктура, казва той. Идентифицирайте и санкционирайте престъпниците за евентуално залавяне и лишаване от свобода и забранете на жертвите на ransomware да извършват плащания, казва Хамилтън.

Американската агенция за киберсигурност и инфраструктура (CISA) също играе активна роля в това да накара федералните агенции да засилят защитата срещу ransomware и други киберзаплахи.

Каталогът на агенцията „Известни експлоатирани уязвимости“ например изисква от всички граждански правителствени агенции да поправят уязвимости, които се експлоатират активно, в рамките на определен срок – обикновено две седмици – за да се сведе до минимум излагането на киберзаплахи. Неотдавна CISA стартира пилотна програма за предупреждаване за уязвимост на рансъмуер (Ransomware Vulnerability Warning Pilot – RVWP), за да предупреждава организациите в секторите на критичната инфраструктура за системи с уязвимости в тях, които нападател с рансъмуер може да използва. През март 2023 г. CISA стартира свързаната с нея инициатива за предварително уведомяване за рансъмуер, в рамките на която предупреждава организациите за  рансъмуер банди в техните мрежи, за да могат да отстранят заплахата, преди да се стигне до криптиране на данни.

Програмите са част от Съвместното сътрудничество за киберзащита (JCDC) на CISA, чрез което агенцията получава съвети и информация за заплахи от изследователи в областта на киберсигурността и фирми за разузнаване на заплахи.

„CISA призна заплахата от ransomware за критичната инфраструктура“, казва Мариано Нунес, главен изпълнителен директор и съосновател на Onapsis. От началото на годината те вече са сигнализирали на над 60 организации от секторите на здравеопазването, комуналните услуги и други сектори за потенциални заплахи от прерансъмуер в техните мрежи, казва той.

Рансъмуерът  продължава да съществува

Подобна помощ е жизненоважна, тъй като атаките с рансъмуер срещу критичната инфраструктура се увеличават, казва Нунес.

„Повърхността на атаките ще продължи да нараства, тъй като комуналните услуги и критичната инфраструктура стават все по-свързани или взаимосвързани онлайн“, отбелязва той. „Преминаването към облака също може да създаде някои проблеми, тъй като тази промяна може да затрудни навременното наблюдение на активните заплахи и оценката на уязвимостите.“

Един от факторите, който може да усложни усилията за справяне с проблема с рансъмуера, е нарастващата тенденция на жертвите да отлагат докладването на инцидента или да го прикриват изцяло, ако е възможно.

Според BlackFog проучванията на компанията показват, че организациите, загрижени за потенциалните щети върху техните марки, репутация и отношения с клиентите, отлагат, а понякога и не съобщават за инцидент с ransomware.

„Сега виждаме, че повече от 90% от всички атаки вече не криптират устройствата на жертвата, а просто ексфилтрират данните с цел изнудване“, казва Дарън Уилямс, главен изпълнителен директор и основател на BlackFog. „Разходите, свързани с излагането на риск, са просто твърде високи; загубата на бизнес, възстановяването, регулаторните глоби и колективните искове са само част от проблемите, с които трябва да се справяме.“

Източник: DARKReading

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
8 декември 2024

Off topic: Не яжте!

Хората, които си купуват нови електронни устройства, имат една пост...
Бъдете социални
Още по темата
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
04/12/2024

Производителят на водки Sto...

Компаниите на Stoli Group в САЩ...
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!