Colonial Pipeline Company heeft dit weekend een van zijn belangrijkste Amerikaanse pijpleidingen moeten afsluiten na een ransomware-aanval. Volgens bronnen van de BBC zitten Russische hackers achter de aanval.
De pijp van Colonial Pipeline Company is bijna negenduizend kilometer lang en loopt van de Golf van Mexico tot in New Jersey. Er stromen normaliter zo’n 2,5 miljoen vaten diesel, stookolie en vliegtuigbrandstof per dag door, zo’n 45 procent van het aanbod voor de Amerikaanse oostkust.
Het bedrijf ontdekte vorige vrijdag dat het slachtoffer was geworden van een ransomware-aanval. Daarop werd een deel van het it-netwerk ‘pro-actief’ uitgeschakeld. Ondertussen is begonnen met het herstellen van de systemen en zijn enkele kleinere pijpleidingen tussen terminals en verdeelpunten opnieuw actief. De hoofdleidingen zijn nog wel afgesloten. Colonial Pipeline Company heeft naar eigen zeggen de hulp ingeroepen van cybersecurityspecialisten.
Volgens zowel de BBC als NBC zit de vrij nieuwe Russische hackersgroep Darkside achter de aanval. Wat de hackers eisen, is niet bekend. Wel houdt de groep circa 100 gigabyte aan data gegijzeld. Darkside zou geen banden hebben met de Russische overheid, maar werkt voor puur financiële motieven, zo weten de bronnen van NBC.
Volgens olie-experts kan de prijs van olie vandaag al twee tot drie procent kunnen stijgen vanwege het incident. Als de blokkade blijft duren, kan die prijsstijging veel hoger liggen.
Koppel alles aan alles, bij voorkeur via het internet. Gemak dient de mens nietwaar? Dat geldt ook voor hackers. In het tijdperk van alleen analoge netwerken wist men al dat je kritische netwerken fysiek separaat moet houden. Een beetje paranoia bij beheerders van vitale installaties kan geen kwaad. Dus ook geen portable devices koppelen aan je separate netwerk en al zeker geen thuiswerkers toelaten.
De hackersgroep DarkSide die zegt de hack te hebben “gesteund” schrijft over zichzelf “We are apolitical, we do not participate in geopolitics, do not need to tie us with a defined government and look for other our motives.” Dit pas niet bij wat ze nu doen. De aanval op Colonial Pipeline Company komt Poetin (en Trump) goed uit nadat Biden het omstreden Keystone XL-oliepijpleidingproject heeft gestopt. Voor Poetin is de aanval extra interessant omdat de VS zich tegen het Russisch-Duitse Nord Stream 2 gaspijpleidingproject blijft verzetten. Onafhankelijke hackers zijn anarchistisch van aard en zouden ook grote bedrijven en instellingen in de eigen regio kiezen als het alleen om geld gaat. Dat doen ze niet.
Ze schrijven ook “From today we introduce moderation and check each company that our partners want to encrypt to avoid social consequences in the future.” Dit past niet bij de double extortion die ze hebben toegepast en de impact van de laatste Ransomware hack aanval.
DarkSide schrijft ook “Our goal is to make money, and not creating problems for society.“
Een nette onafhankelijke Ransomware-as-a-Service hackgroep vanuit de Russische Federatie opstarten? Dat is zoiets als een nieuw drugskartel beginnen in Columbia. En Cyber Robinhoods zijn deze oude rotten in ieder geval ook niet. Daarom geeft Biden aan Poetin de kans om de zaak op te lossen voordat er represailles komen.
Als DarkSide de decryption keys niet vrij geeft aan de Colonial Pipeline Company, dan plaatst DarkSide zichzelf publiekelijk bij de andere p.p.p. samenwerkingen in de Russische Federatie die DDos-, Ransomware- en hack-diensten bieden.
DarkSide heeft op 14 mei gemeld: “We lost access to the public part of our infrastructure, in particular to the blog, payment server, CDN servers … these servers cannot be accessed and the hosting panels have been blocked,” “A couple of hours after the seizure, funds from the payment server [belonging to DarkSide and its clients] were withdrawn to an unknown account.” Het is ongeloofwaardig dat DarkSide door een hack niet alleen de toegang tot servers kwijtraakt, maar ook een deel van het geld. Een professionele bende zal het buitgemaakte geld zo snel mogelijk doorsluizen.
Het is niet te verwachten dat DarkSide echt ophoudt te bestaan; hoogstens onder een andere naam weer opduikt. Het profiel van de groep wordt intussen steeds duidelijker.
DarkSide is natuurlijk doorgegaan met hacken, maar VS onderminister van Justitie Lisa Monaco heeft op 7 juni bekend gemaakt dat er beslag is gelegd op 2.3 miljoen Dollar aan losgeld in een bitcoinportemonnee DarkSide. De VS willen het verdienmodel aanpakken samen met andere landen.