Een Amerikaanse gaspijpleiding is door ransomware twee dagen offline geweest, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid in een waarschuwing weten. Wie de eigenaar van de pijpleiding is, is niet bekendgemaakt.
De aanval begon met een e-mail met een link naar een kwaadaardig bestand. Om wat voor soort bestand het ging laat het CISA niet weten. Wel werd het bestand door een medewerker gedownload en geopend. Op deze manier wist de aanvaller toegang te krijgen tot het it-netwerk van de aangevallen gascompressiefaciliteit. Van het it-netwerk lukte het de aanvaller vervolgens om ook het operationele netwerk te compromitteren en op beide netwerken ransomware uit te rollen. Daardoor waren verschillende machines en diensten niet meer beschikbaar. Het gaspijplijnbedrijf had ook geen toegang meer tot real-time operationele data.
Het bedrijf had in het eigen responsplan geen rekening met cyberaanvallen gehouden. Vanwege de infectie werd besloten om alle operaties gecontroleerd uit te schakelen. De downtime duurde in totaal twee dagen, wat leidde tot een productiviteitsverlies en een verlies van inkomsten. Volgens het CISA had het bedrijf geen netwerksegmentatie toegepast, waardoor de aanvaller van het it-netwerk toegang tot het operationele netwerk kon krijgen.
Hoewel de directe operationele impact van de ransomware-aanval was beperkt tot één controlefaciliteit, moesten andere locaties vanwege de opzet van de gaspijpleiding ook hun operaties stoppen. De gehele gaspijpleiding was als gevolg twee dagen offline. Het CISA doet verschillende aanbevelingen om dergelijke aanvallen te voorkomen, zoals netwerksegmentatie, het geregeld maken van back-ups en die geïsoleerd bewaren, het updaten van software, filteren van e-mail, het juist instellen van gebruikersrechten, het gebruik van multifactorauthenticatie en whitelisting en het beperken van RDP.
Verder krijgen organisaties het advies om macro's in Microsoft Office-bestanden die via e-mail zijn ontvangen uit te schakelen. Ook wordt aangeraden om de Microsoft Office Viewer te gebruiken om Office-bestanden die via e-mail zijn ontvangen te openen, in plaats van hiervoor Microsoft Office zelf te gebruiken. Microsoft is echter in 2018 gestopt met het aanbieden en ondersteunen van de Office Viewer, waardoor kwetsbaarheden in deze software niet meer worden gepatcht.
Deze posting is gelocked. Reageren is niet meer mogelijk.