Il CEO di Colonial Pipeline ci spiega perché ha pagato agli hacker un riscatto di 4,4 milioni di dollari

Il signor Blount ha ammesso pubblicamente per la prima volta che la società ha pagato il riscatto, dicendo che era un’opzione che riteneva di dover fare, dati i rischi connessi alla chiusura di tali infrastrutture energetiche critiche. Secondo la compagnia, il gasdotto coloniale fornisce circa il 45% del carburante per la costa orientale.

«So che questa è una decisione molto controversa», ha detto il signor Blount, nelle sue prime dichiarazioni pubbliche dopo il paralizzante hack. «Non l’ho fatto alla leggera. Devo ammettere che non mi sentivo a mio agio nel vedere il denaro uscire dalla porta per persone come questa.»

«Ma era la cosa giusta da fare per il Paese», ha aggiunto.

In cambio del pagamento – che è stato effettuato sotto forma di Bitcoin, circa 75 in totale, secondo una persona a conoscenza della questione – l’azienda ha ricevuto uno strumento di decrittazione per sbloccare i sistemi che gli hacker avevano violato. Sebbene si sia rivelato in qualche modo vantaggioso, alla fine non è stato sufficiente ripristinare prontamente i sistemi di condutture, ha detto la persona.

Il gasdotto, che trasporta benzina, diesel, carburante per aerei e altri prodotti raffinati dalla costa del Golfo a Linden, nel New Jersey, è stato chiuso per sei giorni. Fermare Catalizza il funzionamento della benzina Lungo alcune parti della costa orientale, ha spinto i prezzi ai livelli più alti in più di 6 anni e mezzo e ha lasciato migliaia di stazioni di servizio senza carburante.

I dati del Dipartimento dell’Energia hanno mostrato che le scorte di benzina della costa orientale sono diminuite di 4,6 milioni di barili la scorsa settimana, il più grande calo settimanale dalla fine di febbraio.

Per anni, l’FBI ha consigliato alle aziende di non pagare se esposte al ransomware, il tipo di codice che prende in ostaggio i sistemi informatici e richiede il pagamento per aprire i file. In questo modo si sosterrebbe un fiorente mercato criminale, hanno detto i funzionari.

Ma le molte aziende, comuni e altri indeboliti dagli attacchi stanno pagando il prezzo, concludendo che questo è l’unico modo per evitare costose interruzioni delle loro operazioni.

Kiaran Martin, ex capo del National Cyber ​​Security Center, l’agenzia di sicurezza informatica del governo britannico, ha affermato che gli hacker paganti potrebbero incoraggiare più attività criminali e spesso non portare a un ripristino dei sistemi. Ha detto che le aziende dovrebbero considerare questi fattori quando decidono sul pagamento.

«Ci sono tre problemi che contribuiscono alla crisi del ransomware», ha affermato Martin. Uno di questi è la Russia, patria della criminalità organizzata. Il secondo è la debolezza della sicurezza informatica in molti luoghi. Ma il terzo problema, e il più corrosivo, è che il modello di business funziona incredibilmente bene con i criminali «.

Funzionari statunitensi hanno collegato l’attacco ransomware Nella colonia di una banda criminale nota come DarkSide, si ritiene che abbia sede nell’Europa orientale, specializzata nella creazione di malware utilizzato per violare i sistemi e nella condivisione con gli affiliati, per ottenere una parte del ransomware che ottengono.

Venerdì, DarkSide ha dichiarato di aver perso l’accesso alla sua infrastruttura ed è stato chiuso, anche se non era chiaro se il gruppo fosse stato preso di mira dalle forze dell’ordine o se stesse cercando di andare in clandestinità e riorganizzarsi in seguito.

Il signor Blount ha detto che la Colonial Company ha pagato il riscatto in consultazione con esperti che avevano precedentemente lavorato con l’organizzazione criminale. Lui e altri partecipanti hanno rifiutato di fornire dettagli su chi ha aiutato in quei negoziati. Colonial ha detto di avere un’assicurazione online, ma ha rifiutato di fornire dettagli sulla copertura relativa al ransomware.

Le bande di ransomware a volte crittografano computer e sistemi di backup, lasciando alle vittime altra scelta che pagare il riscatto, ha affermato David Kennedy, amministratore delegato della società di sicurezza TrustedSec LLC, che ha indagato su dozzine di casi di ransomware che coinvolgono DarkSide negli ultimi nove mesi.

Ha detto: «Sono contrario al pagamento del riscatto, perché ogni volta che paghi a questi gruppi, li aiuti ad espandere le loro capacità». «Ma le aziende sono letteralmente in ginocchio senza altra scelta».

La scorsa settimana, Ann Neuberger, vice consigliere per la sicurezza nazionale della Casa Bianca per le tecnologie elettroniche ed emergenti, ha detto che l’amministrazione Biden non aveva raccomandato al colonnello se dovesse pagare.

Ma ha detto che la Casa Bianca si è resa conto che a volte non era un’opzione praticabile per le aziende rifiutarsi di pagare, specialmente quelle che non avevano file di backup o altri mezzi per recuperare i dati. Ha aggiunto che l’amministrazione voleva lavorare con i partner internazionali per rivedere il modo in cui i governi stanno aiutando le vittime e «assicurarsi di non incoraggiare l’emergere di ransomware».

La società di gasdotti, con sede ad Alpharetta, in Georgia, di proprietà di IFM Investors e Koch Industries Inc. E KKR & Co. E Royal Dutch Shell PLC, servizio in cantiere la scorsa settimana. Lunedì ha detto che lo era Trasporto di carburante a livelli normali, Anche se ha avvertito che il recupero della catena di approvvigionamento richiederà tempo.

La crisi è stata una prova di leadership per il signor Blount, il 60enne, che guida l’azienda dal 2017. Ha co-fondato la società di condutture private sostenuta dal private equity Century Midstream LLC nel 2013, dopo aver ricoperto il ruolo di dirigente e in altre posizioni aziendali Energia da quasi 40 anni.

Negli ultimi cinque anni, ha affermato Blount, Colonial ha investito circa 1,5 miliardi di dollari nel mantenimento dell’integrità del suo sistema di condutture di 5.500 miglia e ha speso 200 milioni di dollari nella tecnologia dell’informazione.

Per il signor Blount, l’attacco informatico era simile agli uragani della costa del Golfo che spesso costringono sezioni di oleodotti e raffinerie a chiudere per giorni o settimane. Tuttavia, è stato più devastante per certi versi. Ha detto che l’oleodotto coloniale non era mai stato chiuso in una volta prima.

L’attacco è stato rilevato intorno alle 5:30 del mattino del 7 maggio e ha fatto scattare rapidamente allarmi attraverso la catena di comando della compagnia, raggiungendo il signor Blount meno di mezz’ora dopo mentre si preparava per la giornata lavorativa. L’azienda ha sottolineato che i suoi sistemi operativi non sono stati direttamente interessati e che ha sigillato i flussi delle condutture mentre stava indagando sulla profondità di penetrazione degli infiltrati.

Colonial ha impiegato circa un’ora per chiudere il canale, che comprende circa 260 punti di consegna in 13 stati e Washington, DC.La mossa aveva anche lo scopo di prevenire il contagio dalla potenziale trasmissione ai controlli operativi del gasdotto.

Quando la Colonial ha chiuso il gasdotto, i dipendenti sono stati istruiti a non accedere alla rete dell’azienda e i dirigenti hanno fatto una serie di telefonate alle autorità federali, a cominciare dagli uffici dell’FBI ad Atlanta e San Francisco, nonché da un rappresentante della Cybersecurity e l’Agenzia per la sicurezza delle infrastrutture, o CISA, ha detto il signor Blount.

I funzionari del CISA hanno confermato che i rappresentanti delle colonie li avevano informati dell’hacking subito dopo l’incidente. I rappresentanti dell’FBI non hanno risposto alle richieste di commento.

Nel corso dei giorni successivi, ha detto il signor Blount, il DOE ha agito come un canale attraverso il quale Colonials potrebbe fornire aggiornamenti alle numerose agenzie federali coinvolte nella risposta. Il portavoce del Dipartimento dell’Energia Kevin Liao ha detto che il Segretario dell’Energia Jennifer Granholm e il Vice Segretario di Stato David Torke sono stati in contatto regolare con la società, in parte «per ottenere informazioni che guidino la risposta federale».

Mentre il Colonial si preparava a ripristinare il servizio, il suo personale ha pattugliato il gasdotto alla ricerca di segni di danni fisici e ha guidato per circa 29.000 miglia. Il signor Blount ha detto che l’azienda ha inviato quasi 300 lavoratori per tenere gli occhi sul gasdotto, per integrare il consueto monitoraggio elettronico.

Sebbene il flusso di carburante attraverso il gasdotto sia tornato alla normalità, l’impatto della violazione si è appena concluso con il riscatto pagato. Ci vorranno mesi di lavoro di ripristino per ripristinare alcuni dei sistemi aziendali, ha detto Blount, e alla fine costerà a Colonial decine di milioni di dollari, indicando che non è ancora in grado di fatturare ai clienti dopo che il sistema è stato interrotto.

Un’altra perdita costosa, ha osservato Blount, è il livello di anonimato preferito dalla società.

«Eravamo completamente felici che nessuno sapesse chi fosse il gasdotto coloniale, e purtroppo non è più così», ha detto. «Tutti nel mondo lo sanno.»

Robert Macmillan ha contribuito a questo articolo.

Scrivere a Colin Eaton su [email protected] e Dustin Falls su [email protected]