Aardgasleiding VS stilgelegd na ransomwareaanval

Een aardgasleiding in de Verenigde Staten is tijdelijk uit gebruik genomen na een ransomware aanval. Een aanvaller wist door te dringen tot het IT-netwerk van de eigenaar, waarna ook operationele technologie (OT) toegankelijk was.

Dit meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse Department of Homeland Security. Een aardgasfabriek - waarvan de naam niet bekend is gemaakt - is doelwit geweest van een gerichte cyberaanval. Aanvallers wisten toegang te krijgen tot het IT-netwerk van het bedrijf via een spearphishing-aanval. Dit is een gerichte vorm van phishing waarbij de phishingboodschap is afgestemd op het slachtoffer om de kans op succes te vergroten. Eenmaal binnen wist de aanvaller zijn toegang uit te breiden tot het OT-netwerk en ransomware uit te rollen. De eigenaar van de gasfabriek zag zich genoodzaakt zijn bedrijfsvoering twee dagen lang stil te leggen.

De DHS meldt in zijn security alert dat het getroffen bedrijf geen robuuste segmentatie had aangebracht tussen zijn IT- en OT-netwerken. Dit stelde de aanvaller in staat vanaf het IT-netwerk ook OT te bereiken. Bij de aanval is veel voorkomende ransomware gebruikt, al noemt DHS deze ransomware niet bij naam. De ransomware is gebruikt om Windows-gebaseerde systemen aan te vallen, zowel op het IT-netwerk als het OT-netwerk. Dit betekent ook dat Programmable Logic Controllers (PLC's) - waarmee fysieke processen kunnen worden aangestuurd - niet zijn getroffen door de aanval. Meer informatie over de aanval is hier te vinden.