DHS dice que el ransomware golpeó al operador de gasoducto


Oleoducto gasoducto

Un ataque de ransomware ha impactado las operaciones de un estadounidense. instalación de compresión de gas pure, según un aviso de seguridad del gobierno de EE. UU.

El asesoramiento, publicado hoy, no dice cuándo ocurrió el incidente, sino que simplemente resume el evento y proporciona orientación técnica para otros operadores de infraestructura crítica para que puedan tomar precauciones contra un ataque very similar.

Cómo se desarrolló el ataque

Según el aviso, publicado por la Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional (DHS CISA), el incidente ocurrió después de que «un actor de amenaza cibernética utilizó un enlace de spearphishing para obtener acceso inicial a la purple de tecnología de la información (TI) de la organización antes pivotando a su purple operativa (OT) «.

Una crimson OT es diferente de una red de TI. Es una purple con estaciones de trabajo para administrar equipos críticos de fábrica y otras operaciones de fábrica. Las redes de TI generalmente están dedicadas a la oficina y otros trabajos administrativos. En teoría, las redes de TI y OT deberían estar separadas.

CISA dice que después de obtener acceso a la pink OT, el atacante luego desplegó ransomware de productos que cifraba los datos de la compañía en las redes de TI y OT al mismo tiempo, para un daño máximo, antes de solicitar un pago de rescate.

CISA dice que el ransomware no afectó a ningún controlador lógico programable (PLC), que son pequeños sensores y dispositivos que interactúan directamente con el equipo de fábrica.

Sin embargo, CISA dice que los datos de otros procesos industriales relacionados, como las interfaces hombre-máquina (HMI), los historiadores de datos y los servidores de encuestas, no pueden ser agregados y leídos por operadores humanos, lo que resulta en una pérdida parcial de conocimiento de las operaciones de la instalación de tuberías. por su propio own.

El operador de la tubería cerró las operaciones durante dos días.

CISA dice que el operador de la tubería decidió implementar «un cierre deliberado y controlado de las operaciones», como medida de precaución y para evitar cualquier incidente.

El operador de la tubería dio este paso incluso si su program de emergencia no ordenaba un cierre obligatorio en el caso de un ataque cibernético.

Los funcionarios de CISA dijeron que el cierre duró aproximadamente dos días, luego de lo cual se reanudaron las operaciones normales.

Blow son los hallazgos y conclusiones de CISA de su reciente investigación sobre el evento:

  • En ningún momento el actor de la amenaza obtuvo la capacidad de controlar o manipular las operaciones. La víctima desconectó las HMI que leen y controlan las operaciones en la instalación. Una oficina de control central separada y geográficamente distinta pudo mantener la visibilidad pero no estaba equipada para el management de las operaciones.
  • El program de respuesta de emergencia existente de la víctima se centró en las amenazas a la seguridad física y no en los incidentes cibernéticos. Aunque el approach requería una declaración de emergencia completa y un cierre inmediato, la víctima consideró que el impacto operativo del incidente era menos severo que los anticipados por el prepare y decidió implementar medidas limitadas de respuesta de emergencia. Estos incluyeron una transición de cuatro horas del modo operativo al apagado combinado con una mayor seguridad física.
  • Aunque el impacto operativo directo del ataque cibernético se limitó a una instalación de management, las instalaciones de compresión geográficamente distintas también tuvieron que detener las operaciones debido a las dependencias de transmisión de la tubería. Esto dio como resultado un cierre operativo de todo el activo de la tubería que duró aproximadamente dos días.
  • Aunque consideraron una variedad de escenarios de emergencia física, el program de respuesta de emergencia de la víctima no consideró específicamente el riesgo planteado por los ataques cibernéticos. En consecuencia, los ejercicios de respuesta a emergencias tampoco lograron proporcionar a los empleados experiencia en la toma de decisiones para enfrentar ataques cibernéticos.
  • La víctima citó lagunas en el conocimiento de seguridad cibernética y la amplia gama de escenarios posibles como razones para no incorporar adecuadamente la seguridad cibernética en la planificación de la respuesta ante emergencias.

Las autoridades estadounidenses no revelaron el nombre de la cepa de ransomware. Sin embargo, a principios de este mes, la firma de ciberseguridad Dragos publicó un informe sobre una nueva cepa de ransomware llamada EKANS (o Snake) que se creó específicamente para interactuar con procesos que generalmente se encuentran en redes industriales, aunque el ransomware no pudo interactuar con los PLC.

Al momento de escribir este artículo, no hay evidencia que sugiera o confirme que el operador de la tubería fue impactado por EKANS. Lo más probable es que no lo fuera, ya que EKANS es una cepa muy rara, y no «ransomware básico» como CISA describió la cepa de ransomware vista en este incidente en particular.



Enlace a la noticia unique