Злоумышленники с помощью вымогательское ПО зашифровали данные в IT- и OT-сетях для нанесения большего ущерба.
Киберпреступники атаковали оператора газопровода и заразили его компьютерные сети вымогательским ПО. Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США не указало название оператора, но поделилось подробностями кибератаки. Злоумышленники использовали фишинговую ссылку для получения первоначального доступа к информационным компьютерным сетям организации, а затем нацелились на OT-сеть (Operational Technology).
После получения доступа к ОТ-сети преступники загрузили вымогательское ПО, зашифровали данные одновременно в IT- и OT-сетях для нанесения максимального ущерба, и только потом потребовали выкуп.
Вымогательское ПО не затронуло программируемые логические контроллеры (ПЛК), напрямую взаимодействующие с заводским оборудованием. По словам специалистов, данные других промышленных процессов, таких как человеко-машинные интерфейсы (HMI), программы Data Historian и серверов опроса, не могли быть прочитаны, что привело к частичной потере работоспособности персонала на объекте.
В качестве меры предосторожности оператор трубопровода решил осуществить «преднамеренное и контролируемое прекращение работы». Остановка длилась приблизительно два дня, после чего нормальные операции были возобновлены.
Как отметили представители CISA, преступник не получил возможность контролировать или манипулировать промышленными операциями, поскольку жертва отключила ЧМИ.
Американские чиновники не раскрыли название вида вымогательского ПО.
Ладно, не доказали. Но мы работаем над этим