Ryuk Ransomware golpeó múltiples instalaciones de petróleo y fuel, …



Los atacantes &#39armaron&#39 Energetic Directory para difundir el ransomware.

CONFERENCIA S4x20 – Miami – Más señales de que el sector del sistema de control industrial (ICS) se ha convertido en uno de los últimos objetivos favoritos de los ataques de ransomware: el jefe de una empresa de servicios de ciberseguridad de tecnología operativa (OT) dice que al menos cinco organizaciones en el sector del petróleo y el fuel La industria fue recientemente golpeada por Ryuk.

Clint Bodungen, fundador y CEO de ThreatGen, que lleva a cabo la respuesta a incidentes y otros servicios de seguridad, dice que cree que el ataque de ransomware revelado a fines del mes pasado por la Guardia Costera de EE. UU. En un Boletín de Información de Seguridad Marina puede haber sido parte de un ataque de ransomware Ryuk más extendido campaña que incluyó a dos de los clientes de la organización de petróleo y fuel de su empresa como víctimas.

La Guardia Costera en su alerta del 16 de diciembre de 2019 advirtió sobre un ataque de ransomware Ryuk en una instalación regulada por la Ley de Seguridad del Transporte Marítimo (MTSA) que comenzó con un usuario que abría un enlace malicioso en un correo electrónico de phishing, lo que llevó a Ryuk a bloquear a la víctima fuera de los archivos «críticos» en la purple de TI. Ryuk también se extendió a sistemas que monitorean y controlan la transferencia de carga, en última instancia, eliminando las «operaciones principales» de la instalación durante 30 horas durante la respuesta al incidente.

«Los impactos en la instalación incluyeron una interrupción de toda la red corporativa de TI (más allá de la huella de la instalación), la interrupción de la cámara y los sistemas de control de acceso físico, y la pérdida de los sistemas críticos de monitoreo de command de procesos», dijo la Guardia Costera en la alerta.

La alerta de la Guardia Costera llamó la atención de Bodungen. «No sé si … la Guardia Costera está hablando directamente sobre uno de mis clientes, pero los datos eran lo suficientemente relativos y cercanos como para que incluso uno de mis clientes pensara: &#39¿Están hablando de nosotros?&#39», Dice Bodungen. , quien está programado para dar una presentación aquí hoy sobre los incidentes de ransomware.

De cualquier manera, dice, las tácticas, técnicas y procedimientos (TTP) utilizados contra las cinco víctimas de petróleo y gasoline fueron similares, lo que indica que los atacantes Ryuk estaban apuntando específicamente al sector, posiblemente en una campaña coordinada. Además de sus dos clientes de petróleo y gas, señala que ataque a Pemex de México en noviembre también dos empresas adicionales de petróleo y gasoline que conoce.

«Esto se siente como una campaña porque los TTP son similares», dice. La Guardia Costera y el ICS-CERT fueron contactados por al menos uno de sus clientes a raíz de su ataque de ransomware.

Ryuk, una variante de ransomware creada por un grupo ruso de cibercrimen conocido como Wizard Spider, es conocida por apuntar a grandes empresas y organizaciones con el objetivo de obtener pagos de rescate más lucrativos. A partir del tercer trimestre de 2019, la demanda de rescate inicial promedio de los ataques de Ryuk fue de $ 377,000, según los datos de Coveware.

El malware estuvo detrás de varios ataques del gobierno neighborhood, incluido uno contra Riviera Seaside, Florida, en el que la ciudad pagó $ 600,000 en rescate, y otro contra Lake Town, Florida, que recaudó $ 460,000 en rescate. Según los informes, Nueva Orleans también fue golpeada con Ryuk en su reciente ataque de ransomware.

Bodungen dice que ninguno de los clientes del sector de petróleo y gas de su empresa pagó las demandas de rescate. No divulgaría el monto real del rescate por preocupación de que podría usarse para identificar a esos clientes, a quienes había prometido no mencionar públicamente. Él planea compartir hoy aquí los TTP reunidos de los compromisos de IR con sus clientes.

Los esfuerzos para llegar a la Guardia Costera de los Estados Unidos no tuvieron éxito a partir de esta publicación.

Los ataques
Aparentemente, los atacantes habían permanecido inactivos en las redes de clientes de petróleo y gasoline de ThreatGen durante varios meses antes de lanzar el ataque de ransomware. La infiltración inicial comenzó con un correo electrónico de phishing en un caso y un ataque de agua en otro, que plantó la infame puerta trasera Trickbot, dice Bodungen. Los atacantes suelen utilizar Trickbot para moverse silenciosamente a través de la crimson de víctimas para identificar la ubicación de los datos potencialmente confidenciales que pueden bloquear en la etapa de ransomware del ataque.

Los atacantes piratearon los servidores de Active Directory de las víctimas a través del Protocolo de escritorio remoto (RDP). «En realidad armaron a Advertisement al poner no a Trickbot, sino a Ryuk, en el script de inicio de sesión de Advertisement (itinerancia). Por lo tanto, cualquier persona que inició sesión en ese servidor de Advert se infectó de inmediato», es decir, servidores y puntos finales basados ​​en Windows, dice Bodungen.

Entonces, tan pronto como un ingeniero, por ejemplo, inicia sesión desde su estación de trabajo, la carga útil se cae, ejecuta y bloquea al usuario fuera de la máquina.

Mientras que la alerta de la Guardia Costera dijo que Ryuk golpeó los sistemas industriales en la pink de la víctima, dice Bodungen, ese no fue el caso con las empresas de petróleo y gasoline que investigó su compañía.

«Algunas estaciones de trabajo de ingeniería y terminales (HMI y otras) se infectaron, por lo que tan pronto como eso comenzó a ocurrir, hicieron un cambio handbook (con los sistemas industriales)», dice. «Ryuk no cerró los procesos industriales … deshabilita su capacidad de monitorear, ver y controlar», por lo que las plantas entraron en modo handbook.

Ryuk no infectó directamente las cámaras de seguridad física o el manage de acceso físico de su cliente de petróleo y gas, como parece indicar la alerta de la Guardia Costera, dice. En cambio, los enlaces de crimson a esos sistemas se interrumpieron temporalmente durante la investigación de IR de ThreatGen, cuando la planta se «aisló» para evitar una mayor propagación del ataque, según Bodungen. En total, las dos organizaciones de petróleo y gas cayeron entre 24 y 72 horas durante los compromisos de IR.

Mientras tanto, Craze Micro advirtió a fines del mes pasado que la industria del petróleo y el gasoline estaba cada vez más en riesgo de ataques de ransomware. La empresa de seguridad hizo referencia al caso de una empresa estadounidense de petróleo y gas purely natural que fue golpeada con un ataque de ransomware muy específico en el que solo se vieron afectadas tres computadoras, así como sus copias de seguridad en la nube. Las máquinas infectadas albergaron datos «esenciales» de la compañía y le costaron a la compañía unas pérdidas de $ 30 millones.

«Si bien no tenemos detalles adicionales sobre este caso, creemos que los atacantes planearon este ataque con cuidado y pudieron atacar algunas computadoras estratégicas en lugar de atacar a la compañía con una infección masiva», dijo la compañía en una amenaza de petróleo y fuel. reporte emitió.

Copias de seguridad de malas noticias
Para uno de los clientes víctimas de Ryuk de ThreatGen, la restauración de sus sistemas de respaldo fue contraproducente. «Cuando se restauraron de la copia de seguridad, se restauraron a un estado comprometido» porque los atacantes habían estado en la red durante meses, explica Bodungen.

No está claro cuál fue la motivación para la fase tranquila de la infección por parte de los atacantes. A veces, este enfoque trata sobre el reconocimiento y el momento para activar la carga útil del ransomware. También hay otro ángulo posible: un estado-nación, por ejemplo, podría emplear esta estrategia para cubrirse si fueran descubiertos en la red.

«Si solo tengo un punto de apoyo para el uso futuro y me atrapan, podría implementar de inmediato el ransomware como Ryuk como una táctica de distracción», dice. «Espero que luego regresen al estado comprometido y (el atacante) permanezca bajo por un tiempo».

La conclusión es que no puede confiar en sus copias de seguridad si se realizan mientras está infectado, por lo que en esos casos el siguiente paso es reemplazar los discos duros, dice Bodungen.

Eddie Habibi, fundador y CEO de la firma de seguridad de ICS PAS World, recomienda que OT y otras organizaciones mantengan copias «limpias» de sus sistemas. «Asegúrese de tener la capacidad de decirle a los chicos del ransomware que lo eliminen», dice. «Prepárese para apagar los sistemas y comenzar de cero».

Habibi espera que aumenten los ataques de ransomware contra empresas industriales, con consecuencias potencialmente peligrosas. Mantener los sistemas de rescate de una planta química podría ser más lucrativo para los atacantes porque eso sería «más severo que cerrar un negocio (red)», señala.

Contenido relacionado:

Kelly Jackson Higgins es la Editora Ejecutiva de Dim Reading through. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Network Computing, Secure Business … Ver biografía completa

Más suggestions





Enlace a la noticia first