Een grote Amerikaanse pijplijn is het doelwit geworden van cybercriminelen die ransomware hebben geïnstalleerd. Toen het bedrijf erachter kwam dat ze was aangevallen, heeft het direct een deel van de IT-systemen afgesloten en alle productieprocessen stopgezet. De overheid heeft een noodwet geïmplementeerd waardoor achttien staten nu tijdelijk via de weg olie mogen transporteren.
Olietransport pijplijn stopgezet
Aanvankelijk gaf de oliemaatschappij weinig details prijs over de gebeurtenis. Het enige wat het bedrijf in eerste instantie kwijt wilde, is dat ze op vrijdag 7 mei getroffen was door een cyberaanval. Uit voorzorg haalde het bedrijf diverse computersystemen offline en werd het olietransport via de pijplijn stopgezet. Een extern cybersecuritybedrijf -naar verluidt FireEye- werd ingeschakeld om de aard en omvang van de aanval te onderzoeken. Tevens bracht Colonial Pipeline federale handhavingsinstanties op de hoogte van de aanval.
“Colonial Pipeline onderneemt stappen om dit probleem te begrijpen en op te lossen”, zo schreef het bedrijf afgelopen weekend in een persbericht. “Op dit moment ligt onze primaire focus op het veilig en efficiënt herstellen van onze dienstverlening en onze inspanningen om weer normaal te gaan functioneren. Dit proces is reeds aan de gang en wij werken ijverig om deze kwestie aan te pakken en om de verstoring voor onze klanten en degenen die op Colonial Pipeline vertrouwen tot een minimum te beperken.”
In een update laat Colonial Pipeline weten dat het bedrijf is getroffen door een ransomware-aanval. Daarbij worden bestanden op slot gegooid door cybercriminelen of hackers. Slachtoffers kunnen tegen betaling een decryptor kopen: een tool waarmee alle versleutelde bestanden van het slot gehaald kunnen worden. Of de aanvallers losgeldeisen hebben gesteld is onbekend.
De oliemaatschappij werkt aan een opstartplan om het productieproces weer op te starten. De hoofdpijplijnen blijven voorlopig nog offline, de kleinere pijplijnen zijn inmiddels weer operationeel. Het IT-systeem wordt pas weer volledig opgestart zodra dit veilig en verantwoord kan. De federale overheid staat achter dit plan en heeft het goedgekeurd.
DarkSide cybercriminelen
Colonial Pipeline laat in het midden wie er achter de ransomware-aanval zit. Amerikaanse media als de Washington Post en CNN suggereren dat Russische hackers genaamd DarkSide verantwoordelijk zijn voor de aanval. Het hackerscollectief is niet gelieerd aan het Kremlin, maar een relatief nieuwe groep. Het Amerikaanse persbureau Bloomberg schrijft dat de daders in twee uur tijd 100 GB aan data hebben gestolen. Het zou gaan om vertrouwelijke gegevens van medewerkers, financiële data, belastingaanslagen, verzekeringspapieren, rapporten, audits, en ga zo maar door.
Regering Biden
Om de olieaanvoer niet in gevaar te brengen, heeft de Amerikaanse regering een noodwet ingevoerd. BBC News schrijft dat achttien staten een tijdelijke ontheffing krijgen om benzine, diesel, kerosine en andere geraffineerde aardolieproducten over de weg te vervoeren. Het gaat om de staten Alabama, Arkansas, District of Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, New Jersey, New York, North Carolina, Pennsylvania, South Carolina, Tennessee, Texas en Virginia.
Een van de grootste en belangrijkste pijplijnen
De Colonial Pipeline is een van de grootste en belangrijkste pijplijnen waarmee aardolie wordt vervoerd. De pijplijn is ruim 8.850 kilometer lang en loopt van Houston (Texas) langs de Golf van Mexico tot aan Linden (New Jersey). Via de Colonial Pipeline worden dagelijks 2,5 miljoen vaten aardolie vervoerd, waarmee het 45 procent van de Amerikaanse oostkust van olie voorziet.
Cybercrime vitale infrastructuur
Hoe zit dit eigenlijk in Nederland, hoe is dit geregeld en is dit ook bij ons mogelijk?
Bekijk onderstaande video voor vragen op deze antwoorden.
Bron: darkweb, bbc.com, bloomberg.com, cnn.com, washingtonpost.com, colpipe.com, rtlz.nl, vpngids.nl
Meer info over ransomware lees je hier
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Belgie: Nu ook bedrijf in Tielt getroffen door ransomware
Opnieuw is een bedrijf getroffen door zogenoemde gijzelsoftware. Computers van Mitsubishi Chemical Advanced Materials in Tielt werden vorige week geïnfecteerd met ransomware. Volgens de directie komt de productie echter niet in het gedrang. Zo’n 15 à 20 werknemers van de administratieve dienst zijn momenteel wel technisch werkloos.
Onderzoeksinstituut Wetsus week gegijzeld door ransomware
Het netwerk van onderzoeksinstituut Wetsus in Leeuwarden is acht dagen gegijzeld geweest door ransomware. Dat meldt de Leeuwarder Courant. Wetsus betaalde losgeld, maar kreeg niet meteen alle ‘sleutels’ terug.
Belgie: 1.700 computers Atlas College Genk geblokkeerd
Het Atlas College in Genk is vanochtend het slachtoffer geworden van computerhackers die opereren vanuit Zwitserland. “De 1.700 computers in het netwerk van onze school zijn onbruikbaar gemaakt, versleuteld. De hackers hebben in een mail om losgeld gevraagd. De Federal Computer Crime Unit en het parket onderzoeken de zaak”, zegt algemeen directeur Christel Schepers van het Atlas College.
Mysterieuze nieuwe Ransomware richt zich op industriële besturingssystemen
Kamer vragen over losgeld na ransomware aanvallen
D66 heeft minister Grapperhaus van Justitie en Veiligheid om duidelijkheid gevraagd over het betalen van losgeld door publieke instanties bij ransomware aanvallen. De aanleiding voor de Kamervragen is een artikel op Security.NL over cyberverzekeringen die voor een toename van ransomware-aanvallen zouden zorgen. Maar ook het nieuws dat de Universiteit Maastricht losgeld betaalde om door ransomware versleutelde bestanden terug te krijgen. Deze ontwikkelingen zijn mogelijk stimulerend voor cybercriminelen omdat de kans op betaling voor ransomware lijkt toe te nemen.
Cybercriminelen beproeven hun geluk met Ransomware
Talloze cybercriminelen kiezen ervoor hun geluk te beproeven met het creëren en verspreiden van ransomware-bedreigingen. De toegangsbarrière als het gaat om het creëren van een ransomware-bedreiging is vrij laag. Dit komt omdat er verschillende bouwpakketten voor ransomware zijn, evenals gevestigde Trojans voor gegevensvergrendeling waarvan de code gemakkelijk online beschikbaar is (darkweb). Dit verklaart waarom de meeste nieuw gespotte ransomware-bedreigingen slechts kopieën zijn van reeds bestaande Trojaanse paarden die bestanden coderen. Sommige cybercriminelen bouwen hun bedreigingen echter helemaal opnieuw op. Dit lijkt te zijn wat er gebeurt met de 'Zeoticus' Ransomware.