A hét elején két újabb, ipari szervezeteket ért ransomware-támadásról hallottam, tegnap pedig még egybe botlottam.
Az első az INA horvát olajtársaságot, a MOL-csoport tagját érte még február 14-én. A hírek szerint az incidensért a CLOP ransomware egy újabb variánsa a felelős, amit készítői már arra is képessé tettek, hogy a McAfee Endpoint Security és a MalwareBytes Anti-Ransomware-megoldásait is ki tudja kapcsolni. Az INA közleménye szerint az incidens az üzemanyag-előállításért és ellátásért felelős rendszereket (részben ICS rendszereket) nem érintette, azonban a számlázó- és pontgyűjtő-kártya-rendszereket, az új mobil-kuponok és elektronikus matricák kibocsátásáért valamint az INA lakossági földgáz-üzletágának fogyasztói esetén a számlák kiegyenlítéséért felelős rendszereit igen.
A támadás részleteiről több forrás is beszámolt:
SOC Prime
ZDNet
SecurityAffairs
A másik incidensről szóló hír tegnap, február 28-án jelent meg az Index.hu-n, de már a hét elején lehetett pletykákat hallani arról, hogy az Egis Gyógyszergyárban kiberbiztonsági incidens történt (és arról is, hogy az Egis mellett más magyar gyógyszergyárban is történt incidens, erről azonban az Index egyébként elég szűkszavú cikke nem szól, más forrást pedig nem sikerült találnom). Az Index cikke alapján jelenleg az feltételezhető, hogy a termelésirányításért felelős rendszer nem volt érintett, a logisztikát támogató rendszerek némelyike azonban igen. Bár részleteket pénteken délután, amikor ezt a posztot írom, még nem lehet tudni, de a sorok között olvasva és az utóbbi idők tendenciái alapján van egy olyan érzésem, hogy ebben az esetben is valamilyen ransomware-variáns állhat az incidens hátterében (ezt este 19:40-re már meg is erősítették).
Sajnos ez a két eset is nagyon jól rávilágít arra, hogy a preventív intézkedések sokszor minden erőfeszítés ellenére is kevesek lehetnek, legalább ilyen fontosak az incidensek észlelésére és elhárítására vonatkozó képességek és eljárások. Ami pedig nagyon szomorú, hogy a jelek szerint a Norsk Hydro elleni, alig egy évvel ezelőtti ransomware-támadás óta sem igen sikerült a Közép-európai cégeknél elsajátítani azt a fajta transzparenciát, amivel a norvég központú alumínium-ipari óriás kezelte az esetet, mifelénk egy hasonló incidensre adott első reakció még mindig a "nehogy bárki megtudja" gondolat és az ezt képviselő emberek keresztül is tudják vinni az akaratukat. Kár, hogy a jelek szerint továbbra sem ismerték fel, hogy külön-külön előbb vagy utóbb minden szervezetnek szembe kell néznie valamilyen súlyos kiberbiztonsági incidenssel és a legtöbb ipari szervezetnél még mindig uralkodik a nézet, hogy "velünk nem fog semmi hasonlóan rossz dolog történni".
Már összekészítettem ezt a posztot, amikor este (az Egis-incidensről olvasott friss információk után) szembetalálkoztam a Massachusetts állambeli Reading önkormányzati villamosenergia-szolgáltató cége (Reading Municipal Light Department - RMLD) elleni ransomware-támadásról szóló hírrel:
A rendelkezésre álló információk alapján az RMLD elleni támadás is az ügyviteli/vállalati IT rendszereket (pl. a weboldalukat kiszolgáló rendszereiket) érintették és a villamosenergia-rendszer működtetéséhez használt ICS rendszerekig nem jutott el a ransomware.
