El ataque Colonial Pipeline acelera el juego de ransomware


El último incidente de seguridad muestra cómo el ransomware amenaza cada vez más la infraestructura y los sistemas críticos.

Concepto de piratería y seguridad informática. El virus ransomware tiene datos cifrados en la computadora portátil. Hacker ofrece una clave para desbloquear datos cifrados por dinero.

Imagen: vchal, iStockphoto

El viernes, Colonial Pipeline Firm descubrió que había sido atacada por un ataque de ransomware. Responsable de entregar gasoline, combustible para calefacción y otras formas de petróleo a hogares y organizaciones, la compañía representa el 45% del combustible de la Costa Este. El ataque obligó a Colonial Pipeline a cerrar ciertos sistemas, deteniendo temporalmente todas las operaciones del oleoducto.

en un comunicado emitido el domingo, la compañía dijo que contrató a una empresa de ciberseguridad de terceros para investigar el ataque y se comunicó con las fuerzas del orden y con agencias federales, incluido el Departamento de Energía. Más allá de lidiar con el incidente en sí, Colonial Pipeline está bajo manage para que sus operaciones vuelvan a estar en línea de manera segura.

«El equipo de operaciones de Colonial Pipeline está desarrollando un program de reinicio del sistema», dijo la empresa. «Si bien nuestras líneas principales (líneas 1, 2, 3 y 4) permanecen fuera de línea, algunas líneas laterales más pequeñas entre las terminales y los puntos de entrega ya están operativas. Estamos en el proceso de restablecer el servicio a otros laterales y solo pondremos en línea nuestro sistema completo. cuando creemos que es seguro hacerlo, y en total cumplimiento con la aprobación de todas las regulaciones federales «.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

Si la tubería está inactiva por solo un par de días, los clientes y consumidores deben evitar cualquier problema económico o de suministro. Pero, un ataque con repercusiones a más largo plazo podría provocar un aumento de los precios del gasoline e incluso escasez. Más importante aún, el incidente muestra el impacto de la infraestructura crítica como víctima de un ciberataque.

«El impacto económico provocado por este ciberataque hará que el gobierno y los operadores de energía conozcan las vulnerabilidades en la infraestructura crítica», dijo David Bicknell, analista principal de investigación temática de GlobalData, en un comunicado. «Este no es el primer ataque cibernético de ransomware contra una empresa de servicios de petróleo y fuel, y no será el último. Pero es el más grave. También es potencialmente uno de los ataques cibernéticos más exitosos contra la infraestructura nacional crítica de Estados Unidos».

James Shank, líder del comité de Ransomware Activity Force (RTF) para los peores escenarios, dijo que este tipo de ataque contra infraestructura o servicios críticos muestra el aumento del ransomware como una amenaza para la seguridad nacional, especialmente a medida que continuamos lidiando con COVID-19.

«Dirigirse a oleoductos y canales de distribución como este ataque a Colonial Pipeline Co. tiene sentido: el ransomware se trata de extorsión y la extorsión se trata de presión», dijo Shank a TechRepublic. «El impacto de la distribución de flamable atrae la atención de la gente de inmediato y significa que hay una mayor presión sobre los equipos de respuesta para remediar el impacto. Hacerlo durante un momento en que la respuesta a la pandemia ha creado otros problemas de distribución y cadena de suministro, muchos de los cuales requerirán oportuna y distribución eficiente de bienes, se suma a la presión «.

Colonial Pipeline ha contratado a la empresa de seguridad FireEye Mandiant para investigar el ataque. Un portavoz de FireEye le dijo a TechRepublic que la compañía no está comentando sobre el incidente en este momento. Mientras tanto, el FBI ha toqueteó a la banda de ransomware DarkSide como el culpable de este ataque.

Apareciendo durante el verano de 2020, DarkSide ya se ha ganado una reputación infame y se ha beneficiado de sus tácticas, según Lior Div, director ejecutivo de la firma de seguridad Cybereason. El grupo es conocido por ser tanto «profesional» como «organizado» y potencialmente ha obtenido millones de dólares en ganancias con demandas de rescate que van desde $ 200,000 a $ 2,000,000.

DarkSide se ha dirigido típicamente a los países de habla inglesa, al mismo tiempo que evita las regiones asociadas con las naciones del antiguo bloque soviético, dijo Div. El grupo supuestamente tiene un código de conducta en el que promete no atacar hospitales, escuelas, organizaciones sin fines de lucro y agencias gubernamentales. Según los informes, DarkSide ha intentado donar sus ganancias mal habidas a varias organizaciones benéficas, que se negaron a aceptarlas debido a sus tácticas.

A la pandilla también le gusta usar una táctica de doble extorsión en la que exige un pago para descifrar los datos de la víctima, pero también promete filtrar públicamente la información si no se paga el rescate. De esta manera, incluso las organizaciones con copias de seguridad viables de los datos robados pueden ser más propensas a pagar el rescate. El grupo también apunta históricamente a los controladores de dominio, lo que amenaza redes enteras, agregó Div.

«Los motivos de DarkSide están aparentemente motivados por las ganancias, sin embargo, en el mundo real de banderas falsas y asociaciones vagas con los gobiernos, esto no es un hecho», dijo a TechRepublic Mike Hamilton, ex CISO de Seattle y CISO de la firma gubernamental de ciberseguridad CI Security.

«Debido a que Colonial Pipeline es una arteria energética importante de los Estados Unidos, su importancia estratégica es tal que el grupo DarkSide no podría haber ignorado el hecho», dijo Hamilton. «Además, dada esta importancia, es probable que este acto fuera conocido por el gobierno ruso, ya sea a través de comunicación directa o de la recopilación de inteligencia por parte del gobierno ruso. GRU y SRV. «

Los motivos del ataque podrían diferir entre DarkSide y el gobierno ruso, agregó Hamilton. Sin embargo, el Kremlin podría estar usando DarkSide para determinar si Estados Unidos «trazaría la línea» entre un acto prison y un acto de agresión.

«Creo que debemos preguntarnos por qué sigue sucediendo esto: el mismo modus operandi cada vez», dijo Mark Stamford, director ejecutivo de la firma de seguridad OccamSec. «Hay un pirateo o ransomware. Se describe como realizado por &#39piratas informáticos de élite&#39. La respuesta a incidentes comienza, lo cual es costoso. La empresa compra algunas herramientas nuevas. Enjuague, repita. En algún momento tendremos que enfrentarnos a cómo operan realmente los malos, dejar de poner tecnología en todo porque podemos, y lo hacemos algo más que emitir un comunicado de prensa, establecer un grupo de trabajo, etc. «

Los sistemas de infraestructura no son necesariamente más susceptibles a los ciberataques, pero aún tienen debilidades listas para ser explotadas, según el CEO de FiniteState, Matt Wyckhouse.

«De hecho, el sector energético, con la ayuda de iniciativas federales, ha recorrido un largo camino para garantizar que sus sistemas sean seguros», dijo Wyckhouse. «Pero todavía queda mucho trabajo por hacer, y algunos atacantes sofisticados saben que todavía hay debilidades que pueden explotar. Es elementary que las organizaciones comprendan cuáles son sus riesgos y los aborden de manera proactiva en lugar de mantener una postura reactiva. «

Ver también



Enlace a la noticia initial