چگونه شرکت Colonial Pipeline حمله باج‌افزاری را مدیریت کرد

آی‌تی‌من- در تاریخ 7 ماه مه، باج‌افزاری به شرکت  Colonial Pipelineحمله کرد. کارمندان مجبور شدند برخی سیستم‌های اطلاعاتی خود را خاموش کنند؛ زیرا یک سری از کامپیوترها رمزگذاری شده بودند و برخی دیگر هم به این علت خاموش شدند تا از توزیع بدافزار و ابتلای بیشتر کامپیوترها جلوگیری شود. این به تأخیر تأمین سوخت در کل ساحل شرقی آمریکا منجر شد.

عاملین باج‌افزارهای مدرن نه تنها داده‌ها را رمزگذاری و برای رمزگشایی آن‌ها باج می‌خواهند که همچنین برای تشدید میزان باج خود همچنین اطلاعات را نیز سرقت می‌کنند. اتفاقی که در مورد  Colonial Pipeline افتاد این بود که مهاجمان درحدود 100 گیگابایت اطلاعات را از شبکه سازمانی  استخراج کردند. با این حال، به نقل از واشنگتن پست، بازرسان خارجی این رخداد به سرعت متوجه اتفاقی که افتاده شدند و جای اطلاعات سرقت‌شده را نیز یافتند. سپس با سازمان اف‌بی‌آی تماس گرفتند. نیروهای اف‌بی‌آی نیز از طرفی سروقت ISP که صاحب سرور دارنده اطلاعات آپلودشده بود رفتند و آن را جداسازی/ایزوله کردند. در نتیجه مجرمان سایبری ممکن بود دسترسی خود را به اطلاعاتی که از Colonial Pipeline دزدیده بودند از دست بدهند؛ این اقدام سریع تا حدی توانست میزان خسارت را به این سازمان کم کند. 

 دست‌های پشت پرده  
به نظر می‌رسد که باج‌افزار DarkSide به این شرکت حمله کرده باشد. این گروه باج‌افزاری هم روی ویندوز و هم محصولات کسپرسکی به عنوان بدافزار مدل Trojan-Ransom.Win32.Darkside و Trojan-Ransom.Linux.Darkside شناخته می‌شود. DarkSide  از الگوریتم‌های قوی رمزگذاری استفاده می‌کند و بدون داشتن رمز درست بازیابی اطلاعات محال است. در ظاهر، گروه DarkSide شبیه به یک ارائه‌دهنده سرویس آنلاین است که به مرکز مشاوره، دپارتمان روابط عمومی ‌و مرکز مطبوعاتی مجهز است. یادداشت روی وبسایت مهاجمان می‌گوید انگیزه‌ آن‌ها برای این حمله مالی بوده و مقصود سیاسی در کار نبوده است.گروه DarkSide از مدل باج‌افزار در قالب سرویس استفاده می‌کند؛ مدلی که نرم‌افزار و زیرساخت مربوطه به شرکا ارائه می‌دهد تا بدین‌طریق بتوانند حملات خود را پیش ببرند. یکی از این شرکا مسوولیت هدف‌گیری شرکت Colonial Pipeline را داشته. به نقل از دارک‌ساید، این گروه قصد به جای گذاشتن خسارات جدی به این شرکت را نداشته و از این رو بسیار در انتخاب قربانیان خود دقت کرده است. با این حال نمی‌شود این ادعا را به این راحتی‌ها قبول کرد زیرا می‌دانید که لیست ترفندهای مجرمان سایبری بلندبالاست. در نهایت، Colonial Pipeline نمونه‌ای است که نشان می‌دهد تماس به مقامات قانونی و قضایی در چنین مواقعی تا چه حد می‌تواند اهمیت داشته باشد. البته این را هم بگوییم که چنین کاری تضمین صد در صدی نمی‌دهد اما می‌تواند میزان خسارت واردآمده را کاهش دهد.