image

Grootste Amerikaanse brandstofpijplijn platgelegd door ransomware-aanval

maandag 10 mei 2021, 09:49 door Redactie, 33 reacties

De grootste brandstofpijplijn van de Verenigde Staten is door een ransomware-aanval platgelegd, zo heeft de Colonial Pipeline Company in een verklaring bekendgemaakt. Het bedrijf werd op 7 mei door de aanval getroffen en besloot daarop bepaalde systemen uit te schakelen om verdere verspreiding en schade te voorkomen. Dit had tot gevolg dat het functioneren van alle brandstofpijplijnen kwam stil te liggen.

In een gisteren gepubliceerde verklaring stelt het bedrijf dat het bezig is met een herstelplan om alle systemen weer online te krijgen. De belangrijkste pijpleidingen zijn nog altijd offline. Een aantal kleinere leidingen tussen de terminals en distributiepunten zijn inmiddels weer operationeel. Wanneer het veilig is zal het volledige systeem weer worden ingeschakeld.

Om wat voor ransomware het precies gaat en hoe de infectie zich kon voordoen is niet bekendgemaakt. Volgens Amerikaanse media is de aanval het werk van een groep criminelen achter de DarkSide-ransomware. Anonieme bronnen stellen tegenover Bloomberg dat de aanvallers ook bijna honderd gigabyte aan data hebben buitgemaakt.

De Colonial Pipeline Company exploiteert negenduizend kilometer aan pijpleidingen en is verantwoordelijk voor een groot deel van de brandstofvoorziening van de Amerikaanse oostkust. Het bedrijf transporteert benzine, diesel en gas.

Reacties (33)
10-05-2021, 10:02 door Anoniem
Het is ernstig genoeg om voor een flink aantal staten, zo te zien grofweg het oosten van de VS en de staten langs de Golf van Mexico, noodmaatregelen af te kondigen:
https://www.fmcsa.dot.gov/emergency/esc-ssc-wsc-regional-emergency-declaration-2021-002-05-09-2021
10-05-2021, 11:03 door Willieworteltjes - Bijgewerkt: 10-05-2021, 11:50
Welk software programma voor Windows zou het beste beveiligen tegen dit soort Ransomware? Gewoon Bitdefender of toch https://heimdalsecurity.com/en/enterprise-security/products/ransomware-encryption-protection ?
10-05-2021, 11:06 door Anoniem
Dit zou wel eens gezien kunnen worden als een terroristische daad op Amerikaanse grond.
Zeker sinds er noodmaatregelen zijn afgekondigd.
Wat als er gezegd wordt dat het om een Russische, Chinese of Noord-Koreaanse hackers zou gaan...
Ik zie dit als een hele grote red flag.
10-05-2021, 11:51 door Willieworteltjes
Dit zal wel eens het einde van alle cryptocurrencies kunnen zijn die niet gecontroleerd kunnen worden door overheden. Ransomware is dan verleden tijd.
10-05-2021, 11:57 door Anoniem
Door Willieworteltjes: Welk software programma voor Windows zou het beste beveiligen tegen dit soort Ransomware? Gewoon Bitdefender of toch https://heimdalsecurity.com/en/enterprise-security/products/ransomware-encryption-protection ?
Gewoon AVG Free installeren en klaar toch?
10-05-2021, 12:07 door Anoniem
Door Willieworteltjes: Welk software programma voor Windows zou het beste beveiligen tegen dit soort Ransomware? Gewoon Bitdefender of toch https://heimdalsecurity.com/en/enterprise-security/products/ransomware-encryption-protection ?

2 dingen: ja, goede anti-malware is belangrijk - om preciezer te zijn: een goede Endpoint Detection & Response oplossing.
Op dat gebied zijn er inmiddels diverse serieuze opties: Carbon Black, Microsoft Defender EDR, Falcon, Kaspersky KATA, etc.
Zie oa: https://www.gartner.com/reviews/market/endpoint-detection-and-response-solutions

Los daarvan is het minstens zo belangrijk om PCD/SCADA omgevingen als die in dit bericht anders/beter te beveiligen dan "gewone" IT omgeving. Isoleren (op applicatie/identity-niveau) is veruit de belangrijkste maatregel die bedrijven kunnen en moeten nemen. Specifiek energie-bedrijven zijn al langer wettelijk verplicht om dat soort isolatie toe te passen. In de praktijk zijn echter vaak "geitenpaadjes" ontstaan die dit soort aanvallen mogelijk maken. Die paadjes afsluiten is belangrijker dan de AV.
10-05-2021, 12:11 door Anoniem
Door Willieworteltjes: Welk software programma voor Windows zou het beste beveiligen tegen dit soort Ransomware? Gewoon Bitdefender of toch https://heimdalsecurity.com/en/enterprise-security/products/ransomware-encryption-protection ?

Denk je nu echt dat er bij dit soort aanvallen software is die je kan beschermen?

Voor dergelijke (vermoedelijk) state-sponsored attacks helpt enkel een goede organisatie en bedrijfsprocessen.
10-05-2021, 13:13 door Anoniem
"Goede organisatie en bedrijfsprocessen", zegt u.

Er zal wel weer in een bepaald dorp een idioot gemist worden met een das en een witte boord,
die autoruns op USB drives toestond voor Dark Side figuren op sneakernet
(mochten die het echt ooit gedaan hebben).

Stately actors, presumably?

Werden ze aangeworven in de Oekraine of de Russische Federatie?
Wraak in verband met Nord Stream 2, dat de voltooiing nadert?

Wat er in de winter in Texas is gebeurde, was waarschijnlijk al een voorpoefje,
hoe men je in de kou gaat zetten. Hot Cyberwar om orde uit de chaos te kunnen scheppen.

Werk aan de winkel voor het speciale Ransomware and Extortion Task Force van het US Justice Department.

Kritieke infrastructuur hangt men niet aan het Internet, toch?

#sockpuppet
10-05-2021, 13:40 door walmare
Ze willen het niet vertellen maar voor de hand ligt dat ze zijn binnengekomen via Exchange of een win10 werkplek.
10-05-2021, 13:52 door Anoniem
Door Anoniem:
Door Willieworteltjes: Welk software programma voor Windows zou het beste beveiligen tegen dit soort Ransomware? Gewoon Bitdefender of toch https://heimdalsecurity.com/en/enterprise-security/products/ransomware-encryption-protection ?

Denk je nu echt dat er bij dit soort aanvallen software is die je kan beschermen?

Voor dergelijke (vermoedelijk) state-sponsored attacks helpt enkel een goede organisatie en bedrijfsprocessen.

Het grootste probleem zit tussen de bureaustoel en het bureau..
10-05-2021, 14:01 door Anoniem
De grootste brandstofpijplijn van de Verenigde Staten is door een ransomware-aanval platgelegd. Het bedrijf werd op 7 mei door de aanval getroffen en besloot daarop bepaalde systemen uit te schakelen om verdere verspreiding en schade te voorkomen. Dit had tot gevolg dat het functioneren van alle brandstofpijplijnen kwam stil te liggen.

Het nut van een gescheiden zwaar beveiligd netwerk voor iets wat kritiek is? Zo maar een idee.

En blijkbaar niet meer met het handje te bedienen, zoals dat vroeger ging.
Je weet wel, met fysieke knoppen en schakelaars die je indrukte in een coordinatie-centrale. Of personeel dat aan wielen draaide op de pijpen zelf.
10-05-2021, 14:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Willieworteltjes: Welk software programma voor Windows zou het beste beveiligen tegen dit soort Ransomware? Gewoon Bitdefender of toch https://heimdalsecurity.com/en/enterprise-security/products/ransomware-encryption-protection ?

Denk je nu echt dat er bij dit soort aanvallen software is die je kan beschermen?

Voor dergelijke (vermoedelijk) state-sponsored attacks helpt enkel een goede organisatie en bedrijfsprocessen.

Het grootste probleem zit tussen de bureaustoel en het bureau..

De uitspraak is: grootste probleem zit tussen bureaustoel en keyboard.
10-05-2021, 14:34 door Anoniem
Ze hebben ook vast een goeie backup daar van de systemen.
10-05-2021, 15:30 door Anoniem
Door Anoniem:De uitspraak is: grootste probleem zit tussen bureaustoel en keyboard.

PICNIC
10-05-2021, 16:50 door Anoniem
Eigenlijk is dit toch gewoon goed. Wat voor prutsers zijn daar aan het werk en hebben critische netwerken niet gesegmenteerd. Ik begrijp dit totaal niet.
10-05-2021, 16:53 door Anoniem


grootste probleem zit tussen bureaustoel en keyboard.

:D Inderdaad!!!!
10-05-2021, 16:54 door Anoniem
Door Anoniem:
De grootste brandstofpijplijn van de Verenigde Staten is door een ransomware-aanval platgelegd. Het bedrijf werd op 7 mei door de aanval getroffen en besloot daarop bepaalde systemen uit te schakelen om verdere verspreiding en schade te voorkomen. Dit had tot gevolg dat het functioneren van alle brandstofpijplijnen kwam stil te liggen.

Het nut van een gescheiden zwaar beveiligd netwerk voor iets wat kritiek is? Zo maar een idee.

Maar kun je het enigszins effectief gebruiken als alles wat je gebruikt voor het bijhouden van aankoop/verkoop/planning niet beschikbaar is ?

Ik stel me zo voor dat dat pijpen-netwerk ongeveer hetzelfde werkt als een vrachtwagen of trein bedrijven :

klanten bestellen transport, van bepaald goed , bepaalde hoeveelheid, van locatie naar bepaalde locatie, en tegen een prijs.
(zal ook wel afhangen van volume, piektijd etc etc).
Misschien is ook het feitelijke bedien-netwerk aangetast, Of misschien niet .

Zo'n vrachtwagen kan echt wel rijden zonder netwerk - maar als de planning buiten dienst is, staan de chauffeurs toch duimen te draaien - meteen, of nadat hun lopende rit erop zit.


En blijkbaar niet meer met het handje te bedienen, zoals dat vroeger ging.
Je weet wel, met fysieke knoppen en schakelaars die je indrukte in een coordinatie-centrale. Of personeel dat aan wielen draaide op de pijpen zelf.

Zie boven - als je niemand je vertelt hoeveel ton er waar naar toe moet valt er weinig te bedienen.
Ik ben er dus niet zo van overtuigd dat als het pcd/scada netwerk maar beschikbaar is "alles blijft werken" .
Absoluut beter _dat_ het bedien-netwerk beschikbaar is, maar ik denk dat de impact van het verliezen van de 'planning' op kantoor ook al gigantisch is. (zie bv Maersk )
10-05-2021, 18:24 door Anoniem
Door Anoniem: Ik ben er dus niet zo van overtuigd dat als het pcd/scada netwerk maar beschikbaar is "alles blijft werken" .
Absoluut beter _dat_ het bedien-netwerk beschikbaar is, maar ik denk dat de impact van het verliezen van de 'planning' op kantoor ook al gigantisch is. (zie bv Maersk )

Hmmm.

Klinkt als een serieuze sngle point of failure?
En hoor je dat als bedrijf niet af te vangen? (Voordat er zoiets gebeurt)
10-05-2021, 19:06 door Anoniem
Oliecrisis ligt op de loer na een van de ernstigste cybergijzelingen in de geschiedenis

https://www.colpipe.com/about-us/our-company/system-map

Uit voorzorg sloot Colonial Pipeline de leidingen waarmee circa 45 procent van de in het noordoosten van de VS gebruikte olieproducten wordt aangevoerd. Het olievervoerbedrijf exploiteert een netwerk van 8.850 kilometer dat 380 miljoen liter olie per dag aankan. Niet alleen de luchthaven van Atlanta, maar ook andere grote vliegvelden in Zuidoost-Amerika hangen aan het olie-infuus van Colonial Pipeline.

https://www.nrc.nl/nieuws/2021/05/10/een-oliecrisis-ligt-op-de-loer-na-de-al-dagen-durende-cybergijzeling-van-een-olievervoerbedrijf-a4043077
10-05-2021, 19:52 door karma4
Door Anoniem:
Denk je nu echt dat er bij dit soort aanvallen software is die je kan beschermen?
Voor dergelijke (vermoedelijk) state-sponsored attacks helpt enkel een goede organisatie en bedrijfsprocessen.
Dank je,
Daar lig nu net een probleem als zo snel en goedkoop mogelijk moet.
10-05-2021, 20:02 door Anoniem
Waarom mogen de Amerikanen wel een Stuxnet infectie in Iran veroorzaken en zouden ze zelf gevrijwaard moeten blijven?
10-05-2021, 20:15 door Anoniem
Natuurlijk kun je jezelf heel goed beschermen tegen dit soort aanvallen.
Maar niemand wil het, want vervelend, niemand doet het, want anderen doen het ook niet, en dan BAM!
Daar gaat een paar jaar aan winst in 1 minuut weg, als je het al overleeft.
10-05-2021, 20:46 door Anoniem
Door Anoniem:
Door Anoniem: Ik ben er dus niet zo van overtuigd dat als het pcd/scada netwerk maar beschikbaar is "alles blijft werken" .
Absoluut beter _dat_ het bedien-netwerk beschikbaar is, maar ik denk dat de impact van het verliezen van de 'planning' op kantoor ook al gigantisch is. (zie bv Maersk )

Hmmm.

Klinkt als een serieuze sngle point of failure?
En hoor je dat als bedrijf niet af te vangen? (Voordat er zoiets gebeurt)

Uh, "de planning" is meer een functie dan een component .
En ja, natuurlijk moet je zorgen dat functies die erg belangrijk zijn niet kunnen uitvallen , of dat ze snel weer opgebouwd zijn.

Ik zeg hier voornamelijk dat mensen bij de term "transport via pijpleiding bedrijf" niet meteen/alleen moeten denken dat als de pompen en de kleppen maar werken, het bedrijf wel doordraait .
Evenmin dus als een grootschalig vrachtwagenbedrijf 'gewoon doordraait' als die trucks maar starten.
Of een vliegtuig*maatschappij* wel blijft draaien als die vliegtuigen het doen maar alle kantoren plat liggen.

Wat er bij dit pijpleiding transport bedrijf geinfecteerd is weten we nu niet.

btw - de criminelen beginnen een klein beetje bang te worden

https://www.vice.com/en/article/bvzzez/colonial-pipeline-hackers-statement-darkside

(dat 'maatschappelijke' statement geloof ik niet zo erg . Maar wel dat ze zorg hebben dat ze een 'binnen zonder kloppen' team op hun dak krijgen. Ze zijn goedkoop wisselgeld waarmee Kiev of Moskou (of whatever) een boos Washington kan afkopen. En wat ze ook betalen aan lokale autoriteiten om een oogje toe te knijpen, het is niet genoeg voor deze maat probleem.
10-05-2021, 22:43 door Anoniem
Door Anoniem: Eigenlijk is dit toch gewoon goed. Wat voor prutsers zijn daar aan het werk en hebben critische netwerken niet gesegmenteerd. Ik begrijp dit totaal niet.
Het probleem is dat je je netwerken wel kunt segmenteren, maar als je dan vervolgens toch nog op een of andere
manier een beperkte toegang moet geven (bijv een PC op het bureau van een operator moet WEL toegang hebben
tot een operationeel netwerk) dan komt de rotzooi langs dat pad binnen.
De wijze van aanvallen is dan dus niet "connect vanaf het internet direct naar een of ander operationeel systeem" want
dat is wel afgesloten door de juiste segmentering en firewalling, maar "stuur de operator een mailtje, die opent dat op
zijn Windows PC, die PC raakt besmet en gaat code uitvoeren en daarmee het operationele netwerk lamleggen".
Dat kan dan best een ander segment zijn maar dat helpt je niet zoveel.

En dan kun je wel zeggen "verbied dat dezelfde PC zowel internet mail kan lezen (of andere internet toegang heeft) als
ook toegang tot de operationele systemen", maar dat is in de praktijk vaak niet erg werkbaar.
En zou je dat wel doen dan staan de "onderzoekertjes" in de rij om je allerlei hypothetische airgap vulnerabilities voor
te schotelen...
10-05-2021, 22:52 door Anoniem
De bron van de aanval is inmiddels bekend:

de FBI heeft bevestigd dat het gaat om software gemaakt door DarkSide. Dit is volgens experts een relatief nieuwe groep, maar wel een die heel professioneel te werk gaat. Compleet met een klantenservice.

https://nos.nl/artikel/2380207-stilleggen-oliepijplijn-vs-veroorzaakt-door-gijzelsoftware-van-darkside
10-05-2021, 23:28 door Anoniem
Ze schijnen met een aanval op een vitale infrastructuur toch in te gaan tegen hun eigen morele code. Bevreemdend.

"What makes DarkSide ransomware different from Maze or Clop ransomware, for example, is that DarkSide seems to be somehow moral, clarifying that certain domains are not to be touched, including government, medicine, non-profit, and education.".

Programma's als Recuva en Shadow Explorer schijnen hier te kunnen werken, maar wellicht niet aanwezig.

#sockpuppet
10-05-2021, 23:51 door Anoniem
Door Anoniem:
Door Anoniem: Eigenlijk is dit toch gewoon goed. Wat voor prutsers zijn daar aan het werk en hebben critische netwerken niet gesegmenteerd. Ik begrijp dit totaal niet.
Het probleem is dat je je netwerken wel kunt segmenteren, maar als je dan vervolgens toch nog op een of andere
manier een beperkte toegang moet geven (bijv een PC op het bureau van een operator moet WEL toegang hebben
tot een operationeel netwerk) dan komt de rotzooi langs dat pad binnen.
De wijze van aanvallen is dan dus niet "connect vanaf het internet direct naar een of ander operationeel systeem" want
dat is wel afgesloten door de juiste segmentering en firewalling, maar "stuur de operator een mailtje, die opent dat op
zijn Windows PC, die PC raakt besmet en gaat code uitvoeren en daarmee het operationele netwerk lamleggen".
Dat kan dan best een ander segment zijn maar dat helpt je niet zoveel.

En dan kun je wel zeggen "verbied dat dezelfde PC zowel internet mail kan lezen (of andere internet toegang heeft) als
ook toegang tot de operationele systemen", maar dat is in de praktijk vaak niet erg werkbaar.
En zou je dat wel doen dan staan de "onderzoekertjes" in de rij om je allerlei hypothetische airgap vulnerabilities voor
te schotelen...
Precies zo begint de besmetting. Segmentatie zorgt alleen maar voor een klein beetje vertraging maar is absoluut geen oplossing.
11-05-2021, 07:53 door Anoniem
Door Anoniem: De wijze van aanvallen is dan dus niet "connect vanaf het internet direct naar een of ander operationeel systeem" want dat is wel afgesloten door de juiste segmentering en firewalling, maar "stuur de operator een mailtje, die opent dat op zijn Windows PC, die PC raakt besmet en gaat code uitvoeren en daarmee het operationele netwerk lamleggen".
Dat kan dan best een ander segment zijn maar dat helpt je niet zoveel.

En dan kun je wel zeggen "verbied dat dezelfde PC zowel internet mail kan lezen (of andere internet toegang heeft) als
ook toegang tot de operationele systemen", maar dat is in de praktijk vaak niet erg werkbaar.

Zou de mail openen in een soort zandbak (een geisoleerd window) niet een optie kunnen zijn.
De (potentieel) geinfecteerde mail kan dan niet de systemen die toegankelijk zijn op de PC raken.
11-05-2021, 07:58 door Anoniem
Door Anoniem:
Door Anoniem: Hmmm.

Klinkt als een serieuze sngle point of failure?
En hoor je dat als bedrijf niet af te vangen? (Voordat er zoiets gebeurt)

Uh, "de planning" is meer een functie dan een component .
En ja, natuurlijk moet je zorgen dat functies die erg belangrijk zijn niet kunnen uitvallen , of dat ze snel weer opgebouwd zijn.

Ik zeg hier voornamelijk dat mensen bij de term "transport via pijpleiding bedrijf" niet meteen/alleen moeten denken dat als de pompen en de kleppen maar werken, het bedrijf wel doordraait .

Ehm, Als de "planning" langere tijd geraakt/ontregeld kan worden door een ransomeware aanval, dan zijn in ieder geval de hardware/software componenten van de "planning" kwetsbaar.
Als het alleen maar een "functie" zou zijn, dan kunnen ze op dat vlak gewoon door werken. Bv op papier. (wat ook een alternatief backup systeem had kunnen wezen voor de planning).
11-05-2021, 10:49 door Anoniem
Rottig dat dit kan gebeuren natuurlijk maar het zou beter geweest zijn als deze systemen offline werken en niet vanuit buiten te benaderen zijn. Dit soort systemen zijn essentieel voor het land en moeten de hoogste beveiliging hebben dus gewoon geen netwerk. Is het ook niet te kraken ;)
11-05-2021, 10:56 door Anoniem
Door Anoniem: Rottig dat dit kan gebeuren natuurlijk maar het zou beter geweest zijn als deze systemen offline werken en niet vanuit buiten te benaderen zijn. Dit soort systemen zijn essentieel voor het land en moeten de hoogste beveiliging hebben dus gewoon geen netwerk. Is het ook niet te kraken ;)
En bij een probleem met je er naar toe rijden want je kan niets op afstand.

Leuk bij een calamiteit.
11-05-2021, 11:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hmmm.

Klinkt als een serieuze sngle point of failure?
En hoor je dat als bedrijf niet af te vangen? (Voordat er zoiets gebeurt)

Uh, "de planning" is meer een functie dan een component .
En ja, natuurlijk moet je zorgen dat functies die erg belangrijk zijn niet kunnen uitvallen , of dat ze snel weer opgebouwd zijn.

Ik zeg hier voornamelijk dat mensen bij de term "transport via pijpleiding bedrijf" niet meteen/alleen moeten denken dat als de pompen en de kleppen maar werken, het bedrijf wel doordraait .

Ehm, Als de "planning" langere tijd geraakt/ontregeld kan worden door een ransomeware aanval, dan zijn in ieder geval de hardware/software componenten van de "planning" kwetsbaar.
Als het alleen maar een "functie" zou zijn, dan kunnen ze op dat vlak gewoon door werken. Bv op papier. (wat ook een alternatief backup systeem had kunnen wezen voor de planning).

Waarschijnlijk bestaat het gewoon uit een berg excellen, shared folders , mailarchieven en noem maar op.
En (vooral) een order afhandeling/financieel systeem .

Voor wat betreft doorwerken op papier : Knul, ga gewoon eens in een beetje groot bedrijf werken of bij de overheid.
Hou je ogen open. Kijk wat een afdeling doet . Blijf niet alleen in je hokje van de IT afdeling zitten .
En denk in je achterhoofd "kan dit ook op papier doorgaan", of "hoe lang kan dit stilliggen voordat het pijn doet" .
Bij een wat grotere schaal is het antwoord al heel snel "nee" - "terugvallen op papier" doe je niet 'even'.

Denk gewoon aan die kaasboer uit Zeewolde . De koeien deden het , de melkfabriek/kaasfabriek deed het, de koelhuizen bleven koud , de vrachtwagens konden rijden .
Maar de kaas kwam niet in de Appie - zo'n pijp-transporteur hoeft niet anders te zijn.
12-05-2021, 14:21 door Anoniem
Door Anoniem: Oliecrisis ligt op de loer na een van de ernstigste cybergijzelingen in de geschiedenis

Ransomware-aanval op pijplijn leidt tot tekorten en hamsteren van brandstof
woensdag 12 mei 2021, 14:00 door Redactie

https://www.security.nl/posting/703196/Ransomware-aanval+op+pijplijn+leidt+tot+tekorten+en+hamsteren+van+brandstof
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.