Hack Pipeline Kolonial Adalah Ekstrim Baru untuk Ransomware


Selama bertahun-tahun, industri keamanan siber telah memperingatkan bahwa peretas yang disponsori negara dapat menutup sebagian besar infrastruktur energi AS dalam tindakan perang siber yang bermotivasi geopolitik. Tapi sekarang para peretas penjahat dunia maya yang berfokus pada keuntungan telah menimbulkan gangguan yang tidak pernah berani dilakukan oleh peretas badan intelijen dan militer, menutup saluran pipa yang membawa hampir setengah bahan bakar yang dikonsumsi di Pantai Timur Amerika Serikat.

Pada hari Sabtu, perusahaan Colonial Pipeline, yang mengoperasikan pipa yang membawa bensin, bahan bakar diesel, dan gas alam sepanjang jalur 5.500 mil dari Texas ke New Jersey, merilis pernyataan yang mengkonfirmasi laporan bahwa peretas ransomware telah menyerang jaringannya. Sebagai tanggapan, Colonial Pipeline mengatakan menutup bagian dari operasi pipa dalam upaya untuk menahan ancaman tersebut. Insiden tersebut merupakan salah satu gangguan terbesar infrastruktur kritis Amerika oleh peretas dalam sejarah. Ini juga memberikan demonstrasi lain tentang seberapa parah epidemi global ransomware telah menjadi.

“Ini adalah dampak terbesar pada sistem energi di Amerika Serikat yang telah kami lihat dari serangan siber, berhenti total,” kata Rob Lee, CEO dari perusahaan keamanan yang berfokus pada infrastruktur kritis Dragos. Selain dampak finansial pada Colonial Pipeline atau banyak penyedia dan pelanggan bahan bakar yang diangkutnya, Lee menunjukkan bahwa sekitar 40 persen listrik AS pada tahun 2020 dihasilkan dengan membakar gas alam, lebih banyak daripada sumber lainnya. Artinya, menurutnya, ancaman serangan siber pada saluran pipa menghadirkan ancaman yang signifikan bagi jaringan listrik sipil. “Anda memiliki kemampuan nyata untuk memengaruhi sistem kelistrikan secara luas dengan memotong pasokan gas alam. Ini masalah besar,” tambahnya. “Saya pikir Kongres akan memiliki pertanyaan. Seorang penyedia terkena ransomware dari tindakan kriminal, ini bahkan bukan serangan yang disponsori negara, dan berdampak pada sistem dengan cara ini?”

Pernyataan publik singkat Colonial Pipeline mengatakan bahwa mereka telah “meluncurkan penyelidikan ke dalam sifat dan ruang lingkup insiden ini, yang sedang berlangsung.” Reuters melaporkan bahwa petugas keamanan dari firma keamanan FireEye membantu perusahaan, dan penyelidik mencurigai bahwa kelompok ransomware yang dikenal sebagai Darkside mungkin bertanggung jawab. Menurut laporan dari firma keamanan Cybereason, Darkside telah membobol lebih dari 40 organisasi korban dan menuntut uang tebusan antara $ 200.000 dan $ 2 juta dari mereka.

Penutupan Colonial Pipeline terjadi di tengah-tengah epidemi ransomware yang meningkat: Peretas telah melumpuhkan dan memeras rumah sakit secara digital, meretas database penegakan hukum dan mengancam akan mengeluarkan informan polisi secara publik, dan melumpuhkan sistem kota di Baltimore dan Atlanta.

Mayoritas korban ransomware tidak pernah mempublikasikan serangan mereka. Tetapi Lee mengatakan perusahaannya telah melihat peningkatan yang signifikan dalam operasi ransomware yang menargetkan sistem kontrol industri dan infrastruktur kritis, karena peretas yang berfokus pada laba mencari target paling sensitif dan bernilai tinggi yang berisiko. “Para penjahat mulai berpikir untuk menargetkan industri, dan dalam tujuh atau delapan bulan terakhir kami telah melihat lonjakan kasus,” kata Lee. “Saya pikir kita akan melihat lebih banyak lagi.”

Faktanya, operator ransomware semakin mengalami korban industri dalam beberapa tahun terakhir. Hydro Norsk, Hexion, dan Momentive semuanya terkena ransomware pada 2019, dan peneliti keamanan tahun lalu menemukan Ekans, ransomware pertama yang tampaknya dirancang khusus untuk melumpuhkan sistem kontrol industri. Bahkan menargetkan operator pipa gas tidak sepenuhnya belum pernah terjadi sebelumnya: Pada akhir 2019, peretas menanam ransomware di jaringan perusahaan pipa gas alam AS yang tidak disebutkan namanya, Cybersecurity and Infrastructure Security Agency memperingatkan pada awal 2020 — meskipun bukan salah satu dari ukuran Kolonial Pipa.

Dalam serangan ransomware pipeline sebelumnya, CISA memperingatkan bahwa peretas telah memperoleh akses ke sistem IT dan sistem “teknologi operasional” dari perusahaan pipeline yang ditargetkan — jaringan komputer yang bertanggung jawab untuk mengontrol peralatan fisik. Dalam kasus Colonial Pipeline, belum jelas apakah peretas menjembatani celah itu ke sistem yang sebenarnya bisa memungkinkan mereka untuk mencampuri keadaan fisik pipa atau menciptakan kondisi fisik yang berpotensi berbahaya. Hanya mendapatkan akses luas ke jaringan TI dapat menjadi alasan yang cukup bagi perusahaan untuk menutup operasi pipa sebagai tindakan pencegahan keselamatan, kata Joe Slowik, seorang peneliti keamanan untuk Domaintools yang sebelumnya memimpin Tim Keamanan Komputer dan Respons Insiden di Departemen AS Energi. “Operator melakukan hal yang benar dalam kasus ini sebagai respons terhadap kejadian,” kata Slowik. “Setelah Anda tidak dapat lagi memastikan kontrol positif atas lingkungan dan visibilitas yang jelas ke dalam operasi, Anda harus menghentikannya.”

Diposting oleh : SGP Prize