Een grote Amerikaanse pijplijn is het doelwit geworden van cybercriminelen die ransomware hebben geïnstalleerd. Toen het bedrijf erachter kwam dat ze was aangevallen, heeft het direct een deel van de IT-systemen afgesloten en alle productieprocessen stopgezet. De overheid heeft een noodwet geïmplementeerd waardoor achttien staten nu tijdelijk via de weg olie mogen transporteren.
Olietransport pijplijn stopgezet
Aanvankelijk gaf de oliemaatschappij weinig details prijs over de gebeurtenis. Het enige wat het bedrijf in eerste instantie kwijt wilde, is dat ze op vrijdag 7 mei getroffen was door een cyberaanval. Uit voorzorg haalde het bedrijf diverse computersystemen offline en werd het olietransport via de pijplijn stopgezet. Een extern cybersecuritybedrijf -naar verluidt FireEye- werd ingeschakeld om de aard en omvang van de aanval te onderzoeken. Tevens bracht Colonial Pipeline federale handhavingsinstanties op de hoogte van de aanval.
“Colonial Pipeline onderneemt stappen om dit probleem te begrijpen en op te lossen”, zo schreef het bedrijf afgelopen weekend in een persbericht. “Op dit moment ligt onze primaire focus op het veilig en efficiënt herstellen van onze dienstverlening en onze inspanningen om weer normaal te gaan functioneren. Dit proces is reeds aan de gang en wij werken ijverig om deze kwestie aan te pakken en om de verstoring voor onze klanten en degenen die op Colonial Pipeline vertrouwen tot een minimum te beperken.”
In een update laat Colonial Pipeline weten dat het bedrijf is getroffen door een ransomware-aanval. Daarbij worden bestanden op slot gegooid door cybercriminelen of hackers. Slachtoffers kunnen tegen betaling een decryptor kopen: een tool waarmee alle versleutelde bestanden van het slot gehaald kunnen worden. Of de aanvallers losgeldeisen hebben gesteld is onbekend.
De oliemaatschappij werkt aan een opstartplan om het productieproces weer op te starten. De hoofdpijplijnen blijven voorlopig nog offline, de kleinere pijplijnen zijn inmiddels weer operationeel. Het IT-systeem wordt pas weer volledig opgestart zodra dit veilig en verantwoord kan. De federale overheid staat achter dit plan en heeft het goedgekeurd.
DarkSide cybercriminelen
Colonial Pipeline laat in het midden wie er achter de ransomware-aanval zit. Amerikaanse media als de Washington Post en CNN suggereren dat Russische hackers genaamd DarkSide verantwoordelijk zijn voor de aanval. Het hackerscollectief is niet gelieerd aan het Kremlin, maar een relatief nieuwe groep. Het Amerikaanse persbureau Bloomberg schrijft dat de daders in twee uur tijd 100 GB aan data hebben gestolen. Het zou gaan om vertrouwelijke gegevens van medewerkers, financiële data, belastingaanslagen, verzekeringspapieren, rapporten, audits, en ga zo maar door.
Regering Biden
Om de olieaanvoer niet in gevaar te brengen, heeft de Amerikaanse regering een noodwet ingevoerd. BBC News schrijft dat achttien staten een tijdelijke ontheffing krijgen om benzine, diesel, kerosine en andere geraffineerde aardolieproducten over de weg te vervoeren. Het gaat om de staten Alabama, Arkansas, District of Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, New Jersey, New York, North Carolina, Pennsylvania, South Carolina, Tennessee, Texas en Virginia.
Een van de grootste en belangrijkste pijplijnen
De Colonial Pipeline is een van de grootste en belangrijkste pijplijnen waarmee aardolie wordt vervoerd. De pijplijn is ruim 8.850 kilometer lang en loopt van Houston (Texas) langs de Golf van Mexico tot aan Linden (New Jersey). Via de Colonial Pipeline worden dagelijks 2,5 miljoen vaten aardolie vervoerd, waarmee het 45 procent van de Amerikaanse oostkust van olie voorziet.
Cybercrime vitale infrastructuur
Hoe zit dit eigenlijk in Nederland, hoe is dit geregeld en is dit ook bij ons mogelijk?
Bekijk onderstaande video voor vragen op deze antwoorden.
Bron: darkweb, bbc.com, bloomberg.com, cnn.com, washingtonpost.com, colpipe.com, rtlz.nl, vpngids.nl
Meer info over ransomware lees je hier
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Hackers groep Lazarus zet actief 'VHD-ransomware' in voor bedrijfsaanvallen
Door Noord-Korea gesteunde hackers groep Lazarus zet actief VHD-ransomware in tegen bedrijven, volgens een rapport dat gisteren is gepubliceerd door Kaspersky-onderzoekers.
"Naar schatting 538 miljoen euro bespaard aan ransom betalingen"
Het 'No More Ransom' Project viert vandaag zijn vierde verjaardag. Het project dat de Nederlandse politie, Europol en antivirusbedrijven Kaspersky Lab en McAfee in juli 2016 lanceerden bestaat inmiddels vier jaar.
Geen storing maar gijzelsoftware bij 'Garmin'
Het is al dagen niet mogelijk om sportactiviteiten te synchroniseren met de mobiele app 'Garmin Connect'. Dat geldt ook voor andere diensten van het bedrijf.
Het Nederlands kenniscentrum watertechnologie en slachtoffer van Ransomware, heeft besloten niet te zeggen wat er betaald is aan cybercriminelen
Het Friese onderzoeksinstituut Wetsus heeft na overleg met de politie besloten om het bedrag dat aan een cybercrimineel werd betaald voor het ontsleutelen van bestanden niet bekend te maken. Begin februari raakte het netwerk van Wetsus via een "openstaande serverpoort" door niet nader genoemde ransomware besmet. Een dag na de infectie betaalde Wetsus het losgeld omdat dit goedkoper was dan het zelf herstellen van de systemen.
Klik en versleuteld is terug
In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders (doxware) in de eerste fase van een aanval.
Betaal geen losgeld: "De kans is groot dat er bij de ontsleuteling tal van problemen opduiken"
Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.