Colonial Pipeline, đường ống dẫn nhiên liệu lớn nhất ở Mỹ, đã ngừng hoạt động sau khi bị tấn công ransomware.
Colonial Pipeline vận chuyển các sản phẩm dầu mỏ tinh chế giữa các nhà máy lọc dầu nằm ở Bờ Vịnh và các thị trường khắp miền Nam và miền Đông nước Mỹ. Công ty vận chuyển 2,5 triệu thùng mỗi ngày thông qua đường ống dài hơn 8.851 km và cung cấp 45% lượng nhiên liệu tiêu thụ cho Bờ biển phía Đông. Các sản phẩm nhiên liệu của công ty bao gồm xăng, diesel, dầu cho máy sưởi, nhiên liệu máy bay và nhiên liệu cho quân đội Mỹ.
Theo CNBC, vào ngày 7 tháng 5, Colonial Pipeline đã phải hứng chịu một cuộc tấn công ransomware, buộc họ phải đóng toàn bộ hệ thống mạng của mình để ngăn chặn sự lây lan của phần mềm độc hại.
Ngày 8 tháng 5, Colonial Pipeline đã tuyên bố xác nhận vụ tấn công và thông tin rằng họ tạm thời đóng hoạt động của đường ống và đang ứng phó với cuộc tấn công.
"Vào ngày 7 tháng 5, Colonial Pipeline đã biết mình là nạn nhân của một cuộc tấn công an ninh mạng. Để đối phó, chúng tôi đã chủ động đưa một số hệ thống ở chế độ ngoại tuyến để ngăn chặn mối đe dọa. Điều này đã khiến các hoạt động của đường ống phải tạm dừng và một số hệ thống công nghệ thông tin của chúng tôi cũng bị ảnh hưởng” – công ty chia sẻ.
Washington Post dẫn lời một quan chức Mỹ cho hay, DarkSide ransomware được cho là đứng sau vụ tấn công. Vào tháng 8 năm 2020, BleepingComputer là người đầu tiên báo cáo về hoạt động của phần mềm độc hại này.
Giống như các hoạt động ransomware nhắm vào các doanh nghiệp, khi DarkSide có quyền truy cập vào mạng công ty, nó sẽ âm thầm lây lan sang các thiết bị khác trong khi thu thập thông tin xác thực và đánh cắp tài liệu không được mã hóa.
Khi có quyền truy cập vào thông tin đăng nhập miền Windows, nó sẽ triển khai ransomware trên toàn mạng để mã hóa thiết bị.
Ngày 10 tháng 5, DarkSide đã đăng tuyên bố mới. Theo Vice, thông điệp của DarkSide không đề cập trực tiếp đến vụ tấn công Colonial Pipeline, nhưng có tiêu đề “Liên quan đến tin tức mới nhất”. Nhóm này cho biết những hành động của họ không liên quan đến chính trị.
“Chúng tôi là nhóm phi chính trị, không tham gia vào địa chính trị. Đừng ràng buộc chúng tôi với một chính phủ hay tìm kiếm những động cơ khác… Mục đích của chúng tôi là kiếm tiền, không gây ra vấn đề cho xã hội”, nhóm DarkSide tuyên bố. "Mục tiêu của chúng tôi là kiếm tiền và không tạo ra các vấn đề cho xã hội".
Cũng trong tuyên bố mới, DarkSide cho biết sẽ thay đổi cách hoạt động và chọn mục tiêu.
“Từ hôm nay, chúng tôi sẽ kiểm tra và phân tích từng công ty mà đối tác muốn mã hóa để tránh những hậu quả về xã hội”, nhóm này viết.
Để đối phó vụ việc, Bộ Giao thông Vận tải Mỹ đã ban bố tình trạng khẩn cấp ở 17 tiểu bang và Washington nhằm dỡ bỏ hạn chế đối với các hãng vận tải, tài xế đang hỗ trợ những khu vực thiếu nhiên liệu. Tuyên bố khẩn cấp sẽ có hiệu lực đến khi tình trạng kết thúc, hoặc đến 23h59 ngày 8 tháng 6 (theo giờ địa phương).
Sau sự cố của Colonial Pipeline, giá xăng ở Mỹ tăng hơn 3% lên 2,217 USD/gallon - mức giá cao nhất kể từ tháng 5 năm 2018. Các chuyên gia cảnh báo giá nguyên liệu khí đốt có thể tăng thêm nếu Colonial Pipeline không cho hoạt động đường ống trở lại trong vài ngày tới.
Vào đêm ngày 10 tháng 5, tuyến số 4, chạy từ Greensboro, Bắc Carolina, đến Woodbine, Maryland đã tạm thời hoạt động dưới sự kiểm soát thủ công.
Vào ngày 13 tháng 5, báo cáo của Colonial Pipeline cho biết, thủ phạm có khả năng cao nhất trong cơ sở hạ tầng CNTT của công ty là các dịch vụ Microsoft Exchange, mặc dù có một số vấn đề khác mà các nhà nghiên cứu đã mô tả tổng thể “thiếu sự tinh vi về an ninh mạng”.
Colonial Pipeline đã hạ các hệ thống của mình để ngăn chặn các mối đe dọa.
Microsfot đã đưa ra nhiều khuyến cáo về tầm quan trọng của việc cập nhật máy chủ Exchange do một số lỗ hổng bảo mật đang bị khai thác. Các bản cập nhật mới nhất đã được phát hành vào tháng 4 năm 2021. Exchange Oline không bị ảnh hưởng bởi những vấn đề này.
Cơ quan An ninh mạng và Cơ sở hạ tầng đã cảnh báo các nhà khai thác đường ống về các cuộc tấn công ransomware tiền ẩn vào năm 2020 và đưa ra một số biện pháp giảm thiểu nguy cơ. FBI xác nhận rằng họ tin DarkSide chịu trách nhiệm cuộc tấn công này.
Sau khi sự cố xảy ra, Nhà Trắng đã thành lập một nhóm phản ứng liên ngành bao gồm các thành viên của FBI, Bộ An ninh Nội địa và Bộ Năng lượng để phân tích tác động của tình hình đối với nguồn cung cấp nhiên liệu và xác định các chiến lược giảm thiểu.
Quản trị viên EPA Michael Reagan đã tạm thời từ bỏ một số yêu cầu để tăng cường cung cấp nhiên liệu, trong khi Bộ Giao thông Vận tải ban hành miễn phí thuế tạm thời đối với xe bồn.
Nếu DarkSide tiến hành cuộc tấn công, các tác nhân đe dọa có thể đã đánh cắp dữ liệu. Dữ liệu này sẽ được sử dụng để tống tiền Colonial Pipeline. Các cuộc tấn công nổi tiếng do DarkSide tiến hành trước đây bao gồm CompuCom , Discount Car and Truck Rentals, Brookfield Residential và Companhia Paranaense de Energia (Copel) của Brazil.