Ciberataque Colonial Pipeline: Qué ventajas de seguridad …



Mientras el enorme operador de oleoductos de EE. UU. Trabaja para restaurar las operaciones después de un ataque de ransomware DarkSide a fines de la semana pasada, los expertos dicen que es una advertencia para los proveedores de infraestructura crítica.

El principal operador de oleoductos de EE. UU. Colonial Pipeline está investigando y respondiendo a un ataque de ransomware en su pink de TI que finalmente interrumpió las operaciones de su oleoducto a fines de la semana pasada, poniendo de relieve cómo el sector industrial sigue siendo susceptible a los crecientes ataques cibernéticos que podrían tener consecuencias de gran alcance.

El sistema de tuberías de la compañía recorre 5.500 millas entre Houston, Texas y el norte de Nueva Jersey, transportando millones de galones de flamable cada día. El 7 de mayo, Colonial Pipeline se enteró de que fue víctima de un ciberataque que luego se determinó como ransomware. El FBI ha confirmado el grupo de ransomware Darkside es responsable, aunque la investigación está en curso.

El conocimiento del ataque llevó a Colonial a desconectar ciertos sistemas, deteniendo temporalmente todas las operaciones del oleoducto y afectando algunos de sus sistemas de TI. Para el 9 de mayo, sus líneas principales todavía estaban fuera de línea, pero algunas líneas laterales más pequeñas entre las terminales y los puntos de entrega estaban operativas. A nueva actualización publicada El sitio world-wide-web de Colonial dice hoy que su equipo de operaciones ha lanzado un plan que involucra un «proceso incremental» que permitirá a la empresa restaurar completamente su servicio.

El ataque, que según se informa implicó el robo de casi 100 GB de datos de Colonial, llevó al gobierno de los EE. UU. a emitir una exención de emergencia que permite una mayor flexibilidad y un transporte más rápido de petróleo y flamable a los estados donde el suministro de combustible puede verse interrumpido por el ataque.

El ransomware es una amenaza cada vez más común con el potencial de causar daños generalizados a medida que golpea los entornos industriales, y este es el mejor ejemplo. Si bien el ransomware se limitó a la red de TI de Colonial, sus operaciones industriales se vieron obligadas a cerrar como resultado directo.

«Casi todas las organizaciones industriales dependen de los sistemas de TI para una amplia gama de requisitos operativos, desde la facturación hasta la fijación de precios y la gestión de la cadena de suministro», afirma John Livingston, director ejecutivo de Verve Industrial. «La línea de demarcación no está en algún punto físico … cuando pensamos en proteger las &#39operaciones&#39, debemos considerar los sistemas que, si se ven comprometidos, afectarían las operaciones».

Esta es una situación en la que la interrupción de los entornos industriales fue un subproducto del ataque, no un objetivo directo del ataque en sí, agrega Sergio Caltagirone, vicepresidente de inteligencia de amenazas en Dragos. Aun así, agrega, el impacto de este ataque de ransomware es «dramático (y) subraya la vulnerabilidad essential que todos tenemos en las operaciones industriales».

Metas del sector industrial

El sector industrial es un objetivo atractivo por muchas razones, la principal de las cuales es la presión para mantenerse operativo, dice Sean Nikkel, analista senior de inteligencia de amenazas cibernéticas en Digital Shadows.

«Existe un retorno de la inversión potencialmente increíble de las empresas en los sectores industriales, específicamente aquellas involucradas con la energía y el petróleo, que necesitan la disponibilidad y probablemente estarían más dispuestas a pagar para no perder los servicios o recuperar el acceso rápidamente», dice Nikkel. Además, los efectos secundarios de un ataque pueden causar daños físicos que las empresas quieren evitar.

Dentro del espacio industrial, sin embargo, hay algunas áreas que son más vulnerables. La seguridad de los oleoductos está «muy por detrás» de la seguridad de otros sectores energéticos, como el petróleo y el gasoline aguas arriba y aguas abajo, y los servicios públicos de electricidad. Una brecha común en la industria de las tuberías es la falta de segmentación de las redes de adquisición de datos y command de supervisión de tuberías (SCADA), que conectan el centro de handle de tuberías a terminales, estaciones de bombeo, válvulas de aislamiento remoto y parques de tanques a lo largo de la tubería, explica John Cusimano. , vicepresidente de aeCyberSolutions.

«Se trata de redes muy grandes que cubren grandes distancias, pero normalmente son &#39planas&#39 desde el punto de vista de la segmentación de la crimson», explica. «Esto significa que una vez que alguien obtiene acceso a la pink SCADA, tiene acceso a todos los dispositivos de la purple». Si bien las redes SCADA de canalización generalmente están separadas de las redes de TI por firewalls, estos pasan algunos datos entre redes. Estos caminos unidireccionales a través del firewall podrían ser útiles para los atacantes, agrega.

Por supuesto, existen varios desafíos para asegurar las tuberías. La geografía es un aspect importante: a lo largo de los miles de kilómetros de tuberías hay redes que deben conectarse a todas las estaciones de bombeo y válvulas. Los muchos activos involucrados en la construcción de estas redes hacen que sea difícil protegerlas, dice.

Y luego está la brecha regulatoria. Si bien las refinerías y las empresas que reciben productos refinados están altamente reguladas, los oleoductos no reciben lo mismo. Están regulados sin embargo, no en la misma medida. El Departamento de Transporte regula la integridad de las tuberías en sí, y la Administración de Seguridad del Transporte también proporciona regulación. Sin embargo, estos son más como pautas, dice Cusimano, y las tuberías no están sujetas a regulaciones obligatorias.

Las brechas de seguridad en el sector industrial son «amplias y profundas», dice Livingston. Durante años, los ciberataques se han centrado en la información y la confidencialidad ahora, los atacantes están girando para centrarse en la disponibilidad y la fiabilidad. Esto cambia el tipo de objetivos que prefieren perseguir. A principios del año pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS advertido de ransomware dirigido a operaciones de canalización y ofreció mitigaciones contra ataques futuros.

«En el lado de la infraestructura crítica, es realmente importante que pongamos más énfasis en hacer que el lado industrial sea más resistente a los ciberataques», dice Caltagirone. «En este momento, realmente no lo es».

La verdad sobre DarkSide

DarkSide, la operación de ransomware como servicio que se cree está detrás del ataque Colonial Pipeline, apareció por primera vez en la escena del ransomware el verano pasado. Los investigadores notaron que el grupo compartía algunos de los mismos métodos que DoppelPaymer, Sodinokibi, Maze, NetWalker y otros grupos de ransomware conocidos por ejemplo, funciona como un modelo de afiliados, por lo que otros grupos pueden comprar y trabajar con DarkSide para usar y desarrollar su malware. También utilizan el método cada vez más común de «doble extorsión» para robar datos y amenazar con filtrarlos.

Sus atacantes tienen un «enfoque muy específico» para elegir víctimas, señalan los investigadores de Digital Shadows en un informe sobre la amenaza. Si bien afirman evitar entidades críticas y vulnerables como escuelas, hospitales, organizaciones sin fines de lucro o gobiernos, Nikkel señala que un ataque a una empresa como Colonial Pipeline no está fuera de lugar: los objetivos del sector industrial han sido anteriormente los más atacados por DarkSide. , programas de telemetría.

Los atacantes de DarkSide hacen su investigación. A menudo eligen objetivos y determinan un rescate en función de los ingresos de la empresa, y personalizan el ejecutable de ransomware para cada empresa.

El grupo intenta establecer la confianza entre sus víctimas y otros atacantes involucrados, con métodos de comunicación profesionales por ejemplo, publican comunicados de prensa para comunicar sus últimas operaciones o amenazar a las víctimas. Uno de esos comunicados de prensa, publicado hoy, ofrece una interesante continuación del ataque al Colonial Pipeline.

«Somos apolíticos, no participamos de la geopolítica, no necesitamos vincularnos con un gobierno definido y buscar otros motivos nuestros», escribió el grupo en su sitio world wide web. “Nuestro objetivo es ganar dinero, y no crear problemas a la sociedad. A partir de hoy introducimos la moderación y comprobamos cada empresa que nuestros socios quieran cifrar para evitar consecuencias sociales en el futuro.

Algunos expertos especulan que este ataque fue un mistake de DarkSide o uno de sus socios que podría tener repercusiones para el grupo de ciberdelincuencia. «Este será un ejercicio de equilibrio de riesgos realmente interesante para ellos», dice Caltagirone, y señaló que esta acción podría poner al grupo en las listas del gobierno y afectar potencialmente sus asociaciones con otros grupos criminales. «Si atrae demasiado, toda su pink de apoyo se alejará de usted», agrega.

Protegiendo OT

Lo primero que deben hacer las organizaciones es identificar y evaluar cuáles son sus activos, así como los riesgos para que puedan compilar un perfil y planificar cómo abordarlos, dice Cusimano. La elaboración de una hoja de ruta puede ayudar a los equipos de seguridad a determinar qué activos deben abordarse primero.

«¿Cuáles son las vulnerabilidades y las brechas que les generan el mayor riesgo?» él nota.

Una brecha very important a abordar es la que existe entre los equipos de operaciones y de TI, agrega Cusimano. La responsabilidad de la ciberseguridad puede ser vaga, especialmente en organizaciones como Colonial Pipeline, donde las operaciones son tan críticas. A menudo, TI tiene las capacidades, pero no tiene jurisdicción en las operaciones.

Caltagirone recomienda encarecidamente a las empresas que evalúen la vulnerabilidad de sus operaciones industriales en lo que respecta a otras redes. Necesitan «reconocer inmediatamente» si alguna vez tendrían que cerrar o proteger las operaciones industriales debido a un ataque a otra crimson o activo del que dependen, explica. Cuando las cosas se hacen en silos, los operadores industriales no se dan cuenta de las implicaciones de los ataques a otras redes.

Los ataques más comunes de estos grupos a menudo involucran phishing o explotaciones de infraestructura de servidor vulnerable, dice Nikkel, y señala que la capacitación en concientización y las prácticas de seguridad sólidas pueden ser de gran ayuda para la defensa. Mantener los servidores y la infraestructura de pink con acceso a World wide web parcheados y actualizados puede ayudar a mitigar el riesgo de DarkSide y grupos de ataque similares.

Las mayores brechas de seguridad de las empresas a menudo se encuentran en los elementos fundamentales, dice Livingston. Esto incluye parches, copias de seguridad de calidad, fortalecimiento de la configuración y segmentación administrada, «no solo en papel, sino que se monitorea de cerca para que sepa cuáles son las reglas y la arquitectura en la actualidad», agrega.

Kelly Sheridan es la editora de personalized de Dark Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first