A DHS CISA figyelmeztetése szerint ransomware-támadás ért egy földgázcéget az USA-ban, aminek következtében az érintett cég 2 napra teljesen leállította minden rendszerét és üzleti valamint technológiai folyamatait.
Az incidens elemzése alapján (amit a MITRE ATT&CK for ICS keretrendszerét használva végeztek) a támadók célzott adathalász támadással juttatták a ransomware-t a célba vett szervezet IT rendszerébe és onnan jutottak át az OT rendszerekbe, majd mindkét hálózatban elindították a titkosítást végző komponenst. A támadás által érintett eszközök és rendszerek között voltak a földgáz cég HMI-ai, történeti adatbázisai és a szenzorokból adatokat kinyerő szerverei is, aminek következtében a rendelkezésre állás mellet sérült a fizikai folyamatok fölött gyakorolt felügyelet is, ellenben a támadás a rendelkezésre álló információk szerint nem érintett PLC-ket.
Bár az incidens csak az ICS rendszer egyes részeit (a Windows-alapú rendszereket) és csak egy telephelyen érintette, a gázszolgáltató úgy határozott, hogy a teljes szervezetben minden rendszert és a teljes gázvezeték-hálózatot leállították 2 napra.
A cég megkezdte új eszközökre visszatölteni az utolsó, még bizonyítottan jó konfigurációkat, azonban a szervezetnek, bár volt BCP/DRP terve, de ezek elsősorban a safety-re koncentráltak és nem foglalkoztak a kibertámadások elhárításával, emiatt aztán a katasztrófa-elhárítási gyakorlatok nem biztosították a mostani incidens hatékonyabb kezeléséhez szükséges tapasztalatokat.
A CISA publikációjában számos további hasznos tanulságot lehet találni, többek között a hálózati és eszközgazdálkodási, tervezési és üzemeltetési valamint incidenskezelési témákban.
Úgy látszik, 2020-ra kezd beigazolódni az a 2-3 évvel ezelőtti jóslat, hogy a zsarolóvírusok (és íróik) egyre gyakrabban és egyre eredményesebben vesznek célba ICS rendszereket és az azokat használó vállalatokat. Ideje lenne felkészülni itthon is arra, hogy nem minden támadási kísérletet lesznek képesek az egyes cégek szakemberei megelőzni, akkor pedig csak a megfelelő incidenskezelési tervek és gyakorlatok adhatnak reményt a komolyabb üzemzavarok megelőzésére!
