A Colonial Pipeline informatikai rendszerét május 7-én kompromittálta zsarolóvírussal a DarkSide néven azonosított internetes bűnözői csoport. Az Egyesült Államok egyik leghosszabb és legfontosabb olajvezeték-hálózatát üzemeltető társaság ellen indított akció végül a benzinkutaknál jelentkező kisebb felvásárlási pánikot leszámítva nem okozott komolyabb fennakadást, de a biztonságból közel egy hétig teljesen lekapcsolt hálózat esete már többek között egy a kibervédelem megerősítését szorgalmazó elnöki rendeletet is eredményezett.

A nemzet érdekében fizettek

Az ügy természetesen továbbra is terítéken van az amerikai médiában. A társaság vezérigazgatóját például a The Wall Street Journalnak sikerült megszólaltatni. Joseph Blount a lapnak adott interjújában első ízben erősítette meg hivatalosan azokat a korábban már megszellőztetett pletykákat, miszerint a Colonial Pipeline fizetett a zsarolóknak. A nehéz döntésként aposztrofált lépést a cégvezér azzal magyarázta, hogy egyszerűen nem engedhették meg, hogy az ország ellátásában bizonytalan ideig okozzon zavart a csővezetékek leállítása.

A kifizetett összeggel kapcsolatban az amerikai lapok rendszeresen a 4,4 millió dollárt emlegetik, ám ez summa meglehetősen képlékeny annak fényében, hogy a pénzt a "hekkerszakmában" megszokott módon bitcoinban kellett teljesíteni. A DarkSide 75 bitcoint kért a zárolt adatok feloldásáért, ami azt jelenti, hogy a cég vagy még a támadás napján, vagy legkésőbb hétfőn fizetett - gyakorlatilag a kriptovaluta csúcsárfolyamán. A támadók pechjére viszont több olyan esemény is történt az elmúlt időszakban, ami miatt valósággal beszakadt a bitcoin árfolyama. Ennek következtében a május 8-án még 60 ezer dollárt ostromló árfolyam jelen pillanatban a 37 ezret sem éri el.

A Colonial Pipeline esetében persze nem csupán a váltságdíj kifizetése jelentkezik költségként. A kibertámadással közvetlen összefüggésben keletkező kiadásokat több tízmillió dollárra becslik. Bár a vezetékeken keresztül elindult a szállítás, az összes rendszer felülvizsgálata és biztonságos újraindítása akár hónapokat is igénybe vehet. Kiderült például, hogy a vállalat egyelőre számlázni sem tud partnereinek.

Egy érdekes csavar a történetben, hogy sajtóértesülések szerint hiába fizette ki a követelt összeget a cég, végül annak kevés gyakorlati haszna volt, mivel a hekkerek által küldött visszafejtő szoftver túl lassú volt. A szakemberek ezért inkább a vállalat saját biztonsági mentéseire támaszkodva építették újra a rendszert.

Fizetni nem jó! Ééértem?!

Az ügy további érdekessége, hogy biztonsági szakértők, az FBI és az USA pénzügyminisztériuma is nagyjából teljes egyetértésben van a váltságdíjak kérdésében. Ez a közös platform pedig az, hogy nem szabad engedni a zsarolásnak. Nem csupán azért nem, mert ezzel csak újabb és újabb támadásokra ösztönzik az ilyesmiben utazó csoportokat, hanem például azért sem, mert a pénz kifizetése sem jelent garanciát arra, hogy a célpont megszabadul a problémától. Előfordult több esetben is már, hogy a váltságdíj kifizetését követően sem oldották fel a támadók a lezárt rendszert, vagy még rosszabb esetben saját szakállukra kezdték értékesíteni a kompromittált szerverekről megszerzett érzékeny belső információkat.

Az Egyesült Államokban pedig kétszer is érdemes meggondolni valakinek, hogy egy ilyen átutalásban közreműködik. Az ország pénzügyminisztériuma alá tartozó nyomozó szervezet, az OFAC (Office of Foreign Assets Control) tavaly ősszel ezzel kapcsolatban külön figyelmezetést adott ki. Eszerint jogi szankciókra számíthatnak azok a cégek, melyek a ransomware-támadás után segédkeznek a váltságdíj-kifizetésben.