Attaque du gazoduc colonial
Les attaques de ransomware contre les infrastructures critiques sont une préoccupation majeure depuis une dizaine d'années, et elles ont considérablement augmenté au cours des deux derniers mois, soulevant des questions et des inquiétudes quant à la gravité de l'impact des attaques de cybersécurité ciblées sur les gouvernements, l'économie et notre vie quotidienne. sur les gouvernements, l'économie et notre vie quotidienne. L'attaque de SolarWinds, qui a visé de nombreuses organisations gouvernementales et privées, et la récente attaque de Colonial Pipeline, prouvent toutes deux que les organisations et les gouvernements doivent renforcer davantage leurs systèmes de sécurité critiques. que les organisations et les gouvernements doivent renforcer la protection de leurs infrastructures critiques afin de prévenir de futures attaques.
Le Colonial Pipeline, le plus grand oléoduc de produits raffinés des États-Unis et l'un des principaux fournisseurs d'essence et de carburéacteur de la côte Est, a été fermé à la suite d'une attaque par ransomware le 7 mai 2021.
Selon le FBI, une organisation criminelle liée à la Russie et appelée DarkSide est à l'origine de l'attaque. Bien que le cybergang ne nie pas l'attaque, il prétend être une organisation apolitique qui opère pour extorquer de l'argent à ses victimes.
Bien que le vecteur d'attaque initial soit inconnu, nous savons qu'après avoir obtenu un premier accès au réseau de l'entreprise, les auteurs de l'attaque ont déployé le ransomware DarkSide contre le réseau de Colonial Pipeline IT . En réponse à la cyberattaque, l'entreprise En réponse à la cyberattaque, la société a indiqué qu'elle avait déconnecté de manière proactive certains systèmes de technologie opérationnelle (OT) afin de garantir la sécurité des systèmes.
Selon le Forum économique mondial (WEF), les cyberattaques contre les infrastructures critiques représentaient le cinquième risque économique le plus élevé en 2020, et le WEF a qualifié le potentiel de telles attaques de "nouvelle normalité dans plusieurs secteurs, y compris l'énergie, les soins de santé et les transports".
Attaques par ransomware
Les attaques par ransomware sont l'une des cyber-attaques les plus courantes aujourd'hui et les environnements OT dans les secteurs des infrastructures critiques, contrairement aux infrastructures IT dans les grandes entreprises, ne sont souvent pas bien protégés contre les attaques modernes ciblées par des logiciels malveillants. malveillants.
Les environnements OT peuvent devenir des cibles "faciles" pour les raisons suivantes :
- Manque de visibilité des actifs existants ou introduits dans l'infrastructure
- Processus insuffisants pour gérer les données échangées à l'intérieur et à l'extérieur des réseaux isolés
- Les systèmes et réseaux obsolètes exposent les vulnérabilités à des exploits de type "zero-day".
Les moyens les plus courants pour un pirate de prendre pied dans un réseau d'entreprise sont les suivants :
- Utilisation d'e-mails malveillants pour des attaques de phishing avec des liens Google Drive (par exemple, DarkSide)
- Utilisation de comptes et de systèmes accessibles à distance non protégés - RDP, VPN, VDI, etc.
- Exploitation de vulnérabilités connues dans des applications tournées vers l'extérieur - DarkSide est connu pour exploiter les CVE-2021-20016, comme c'était le cas dans l'attaque SMA de SonicWall.
- Utilisation de supports amovibles non surveillés ou contrôlés pour transférer des fichiers.
La liste des mesures d'atténuation publiée par le FBI est disponible ici.
OPSWAT Solutions
OPSWAT propose deux plateformes conçues pour protéger les infrastructures critiques contre les ransomwares et autres cyberattaques avancées en empêchant les menaces de s'introduire dans les réseaux par le biais de fichiers de données ou de dispositifs inconnus. dans les réseaux par le biais de fichiers de données ou d'appareils inconnus.
MetaDefender Plate-forme
MetaDefender utilise la technologie unique de OPSWATdeep content disarm and reconstruction (Deep CDR) pour éliminer les menaces des fichiers en les reconstruisant et, ce faisant, en éliminant le contenu et les scripts potentiellement malveillants. MetaDefender offre également des services de multiscanning, et de prévention proactive de la perte de données ( ). propose également le multiscanning,file-based vulnerability assessment et la prévention proactive de la perte de données (Proactive DLP).
MetaDefender Plate-forme d' accès
MetaDefender Access assure la sécurité des applications SaaS et des données en nuage. Il autorise l'accès en fonction de la santé et de la conformité de l'appareil pour aider les administrateurs à empêcher les appareils à risque de se connecter aux données sensibles du cloud et aux applications SaaS.
Voici une capture d'écran du OPSWAT MetaDefender Kiosk en action, détectant les logiciels malveillants utilisés dans les attaques Colonial Pipeline et SolarWinds.
D'autres bonnes pratiques visant à réduire la surface d'attaque et les risques de cybersécurité sont disponibles dans le OPSWAT blog.
Pour plus d'informations sur la façon dont OPSWAT peut vous aider à protéger votre infrastructure critique, y compris les actifs OT, ICS et SCADA, prenez rendez-vous avec l'un de nos experts en cybersécurité. experts en cybersécurité.
Cette affaire est en cours de développement et nous mettrons le blog à jour dès que des informations seront disponibles.
