Lectura oscura | Seguridad | Proteja el negocio



Siguen surgiendo detalles sobre el ataque de ransomware que afectó a Colonial Pipeline a fines de la semana pasada, lo que obligó al principal operador de tuberías de EE. UU. A desconectar algunos sistemas y detener temporalmente las operaciones de las tuberías. El FBI ha vinculado al grupo de ransomware como servicio (RaaS) DarkSide al ataque.

Colonial Pipeline opera un sistema que abarca 5.500 millas entre Houston, Texas y el norte de Nueva Jersey, y entrega aproximadamente el 45% del combustible para la costa este, dice la compañía. En una actualización publicado el 12 de mayo, los funcionarios informaron que habían iniciado el reinicio de las operaciones del oleoducto y señalaron que la cadena de suministro de entrega de productos tardará varios días en volver a la normalidad.

Desde que su sistema se desconectó, Colonial ha entregado alrededor de 967.000 barriles, o 41 millones de galones, a los puntos de entrega a lo largo del oleoducto, dijo la compañía en una actualización del 11 de mayo. Se preparó para el reinicio del sistema con la entrega de 2 millones de barriles más de las refinerías para su despliegue al reiniciar. También ha impulsado el patrullaje aéreo de su oleoducto y ha desplegado personalized para caminar o conducir unas 5,000 millas diarias por el oleoducto.

El 12 de mayo, la compañía confirmó a The Washington Write-up que no estaría pagando el rescate. Más bien, está trabajando para restaurar datos de copias de seguridad cuando sea posible y reconstruir sistemas para los que no hay copias de seguridad disponibles.

Las actualizaciones adicionales incluyen un aviso del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional, que advierten sobre el grupo de ransomware DarkSide y brindan orientación sobre el fortalecimiento de las prácticas de seguridad.

Un ataque de ransomware a una empresa de servicios públicos no es inusual para DarkSide o el sector industrial. A principios de este año, DarkSide estuvo relacionado con ataques a las eléctricas brasileñas Eletrobras y Copel, que se vieron obligadas a detener temporalmente algunas operaciones. Pero este ataque parece tener más alcance de lo que esperaban los operadores de DarkSide, y poco después del ataque publicaron un comunicado en el que afirman que «nuestro objetivo es ganar dinero y no crear problemas para la sociedad».

El grupo fue más allá y dijo que planeaba «introducir moderación y verificar cada empresa que nuestros socios quieran cifrar» para evitar posibles repercusiones sociales de futuros ataques.

«Esto parece ser una reacción al centro de atención que ahora se les ha puesto», dice Peter Mackenzie, gerente de respuesta a incidentes en Sophos, que había sido contratado para responder o intervenir en ataques anteriores del grupo de ransomware. «DarkSide (es) un sofisticado grupo de atacantes responsables de algunos de los ataques más devastadores que vemos en este momento».

El grupo RaaS surgió en agosto de 2020. Sus operadores y socios se han dirigido a organizaciones en más de 15 países y varias industrias, incluidos servicios financieros, lawful, fabricación, servicios profesionales, venta minorista y tecnología. No se dirige a hospitales, escuelas, universidades, organizaciones sin fines de lucro ni al sector público, según una reseña técnica de Mandiant, que supuestamente fue llamado para ayudar a responder al ataque del Oleoducto Colonial.

Los propietarios de DarkSide comparten las ganancias con los afiliados que realizan los ataques, brindan acceso a las organizaciones objetivo e implementan el ransomware. Se cree que los operadores son los principales responsables de mantener la plataforma que usan sus socios para personalizar los archivos de ransomware, decidir qué información filtrada va a su sitio de filtración y manejar las negociaciones, explica Mackenzie. Es possible que los afiliados del grupo tengan experiencia jugando el mismo papel para otros sindicatos de ransomware.

«Creemos que el primer ataque que investigamos fue el actor de amenazas primary detrás de DarkSide, ya que no tenían mucho interés en que les pagaran. Estaban felices de que se filtraran datos para ayudarlos a hacerse un nombre», dice. «Los siguientes incidentes probablemente fueron afiliados, pero es difícil estar seguro».

Debido a la forma en que opera DarkSide, no está claro cuánto manage tienen los propietarios del grupo sobre los afiliados que irrumpen en las redes y lanzan ransomware. Los investigadores de Sophos explican.

Esta es una gran pregunta después del ataque Colonial Pipeline: ¿Fue este el trabajo del propio grupo DarkSide o el trabajo de uno de sus muchos socios? Mandiant ha identificado al menos cinco atacantes de habla rusa que pueden ser actualmente, o haber sido anteriormente, afiliados de DarkSide. Algunos atacantes que afirman utilizar los servicios de DarkSide también se han asociado supuestamente con otros programas afiliados de RaaS, incluidos Babuk y Sodinokibi, o REvil, informan los investigadores de Mandiant.

Destacándose del resto
DarkSide es uno de los muchos grupos avanzados que se dirigen a las organizaciones en la actualidad. Tiene muchas similitudes con Ryuk, REvil, DoppelPaymer y otros, dice Mackenzie. La mayoría de estos grupos emplean el mismo enfoque normal de obtener acceso a la purple, comprometer las credenciales de administrador del dominio, crear listas de servidores e infraestructura de destino e identificar copias de seguridad y datos confidenciales.

«Luego, cuando estén listos, a menudo días o semanas después de obtener el acceso por primera vez, implementarán el ransomware como una aplicación ordinary que un administrador podría implementar», señala. Como muchos otros, DarkSide utiliza la técnica de «doble extorsión» de primero exfiltrar grandes cantidades de datos y luego encriptar la purple antes de amenazar con publicar los datos si no se cumple la demanda de rescate.

De alguna manera, DarkSide es diferente. El grupo no solo ataca máquinas con Home windows también implementa archivos binarios ejecutables y de formato de enlace (ELF) para apuntar datos en dispositivos Linux. La versión para Linux de su ransomware se dirige específicamente a los archivos VMDK, informa Sophos, señalando que se trata de unidades de disco duro virtuales que se utilizarán en máquinas virtuales, incluidas VMware y VirtualBox.

Qué pueden hacer las organizaciones
¿Estos ataques ocurren con más frecuencia o simplemente escuchamos hablar de ellos con más frecuencia? Marty Edwards, vicepresidente de seguridad de OT en Tenable, dice que «es un poco de ambos».

Los datos apoyan su punto: una nueva investigación de Look at Point revela una Aumento del 102% en ataques de ransomware este año en comparación con principios de 2020, con la atención médica y los servicios públicos encabezando los sectores más objetivo desde principios de abril de 2021. El año pasado, se estima que el ransomware costó a las empresas globales alrededor de $ 20 mil millones, casi un 75% más que el costo en 2019.

«Las organizaciones deben ser aplaudidas por su mayor transparencia durante incidentes como estos y, como resultado, escuchamos hablar de ellos con más frecuencia», dice Edwards. «La mayoría de los expertos tienden a estar de acuerdo en que el ritmo también está aumentando, lo que significa que cada día ocurren más y más de estos ataques».

Si bien este ataque afectó la red empresarial de Colonial, subraya cómo las empresas deben considerar la naturaleza interconectada de las operaciones de OT. Si bien muchas organizaciones sienten que tienen redes OT altamente segmentadas para incluir sistemas de control industrial, la firma de seguridad de ICS Dragos señala que a menudo este no es el caso.

«Es común escuchar acerca de la convergencia IT-OT pendiente, pero en realidad gran parte de esa convergencia tuvo lugar hace una década, y los controles preventivos, como la segmentación, que las organizaciones tenían implementados se han atrofiado con el tiempo debido a configuraciones incorrectas, dispositivos adicionales , o simplemente la naturaleza de la necesidad de una mayor conectividad para la empresa «, comentan los expertos de Dragos escribió en una publicación de weblog.

Monitorear las joyas de la corona de una organización debería ser una prioridad, dijeron. Los equipos de seguridad también deben saber cuáles son los registros más relevantes, dónde se guardan y cuánto tiempo están disponibles, algo imprescindible para responder a un ataque como este. Los expertos también aconsejan instalar el monitoreo de crimson en las redes de OT internas para tener visibilidad de las conexiones de TI / OT.



Enlace a la noticia original