Colonial Pipeline y Accellion Execs comparten historias de guerra de ciberataques



CUMBRE DE DEFENSA CIBERNÉTICA OBLIGATORIA – Washington, DC – Joe Blount, presidente y director ejecutivo de Colonial Pipeline, dice que tan pronto como se enteró de que su empresa había sido golpeada por un ciberataque importante, su trabajo diario pasó a un segundo plano en comparación con el siguiente. -Respuesta a incidentes en cubierta.

«Su trabajo típico de director ejecutivo salió por la puerta hace solo unas horas y no volverá en bastante tiempo», dijo, describiendo cómo fue cuando se le informó por primera vez del ataque de ransomware, que llevó a la empresa a cerrar temporalmente. por su tubería física, así como por los sistemas de OT y TI como medida de precaución, y finalmente pagando el rescate de $ 4,4 millones. Gran parte de ese rescate fue recuperado posteriormente por el FBI, alrededor de 2,3 millones de dólares de lo que la empresa pagó a la banda de ransomware DarkSide.

A Blount, como a la mayoría de su equipo ejecutivo y empleados, se le asignó un papel específico en la respuesta de la empresa: era el «conducto» para comunicarse con el Departamento de Energía de EE. UU. (DoE) sobre los detalles del ataque, la respuesta y la recuperación. «En nuestro caso, después del ataque, la responsabilidad del CEO pasa inmediatamente a contener el ataque y remediar la situación. Ese se convierte en el foco», dijo Blount, quien junto con el presidente y CEO de Accellion, Jonathon Yaron, compartió la opinión del CEO sobre una respuesta a un incidente importante. a un ciberataque aquí durante un panel de apertura con el vicepresidente senior y director de tecnología de Mandiant, Charles Carmakal.

«Después de un incidente como este, no hay suficiente tiempo en el día o suficiente gente. Así que uno se involucra activamente», dijo. Para Blount, eso significó realizar sesiones informativas de actualización diarias con el gobierno federal a través del Departamento de Energía sobre lo que estaba sucediendo y lo que Colonial Pipeline y su equipo de respuesta a incidentes, incluido Mandiant, habían descubierto.

«Cuando establecimos ese único conducto con el gobierno, lo que nos permitió comunicarnos hasta la Casa Blanca, con todos los reguladores responsables [for the industry], hasta los grupos de presión que ayudaron a difundir información a empresas similares «, dijo, les permitió alertar indirectamente a otras organizaciones de la amenaza.

Yaron de Accellion, un ex miembro del renombrado equipo de inteligencia israelí Unit 8200, recordó la segunda ronda de ataques que explotaban los días cero en la plataforma heredada File Transfer Appliance de la compañía casi un mes después del primer ataque a la plataforma. «Aquí están, dos ex-8200», dijo, refiriéndose a él y a su jefe de tecnología en la empresa. «Obviamente entendemos que alguien los ha burlado [us] en el segundo día [attack] a fines de enero «, dijo, y los atacantes» saben algo que nosotros no sabemos «.

El ataque se detectó por primera vez cuando un detector de anomalías en Accellion FTA, una tecnología de 20 años que todavía usaban algunas empresas para transferir archivos grandes, disparó una alarma en una institución académica en el noreste de EE. UU., Que luego se comunicó con Accellion. No estaba claro para el proveedor si fue un ataque gubernamental o comercial, y si fue un evento único o un evento masivo, dijo. Los bancos, las agencias gubernamentales de EE. UU. Y una importante organización de atención médica se encontraban entre los clientes que aún utilizaban el producto más antiguo.

«El primer orden fue comprender la magnitud», dijo Yaron. Había unas 300 posibles organizaciones de víctimas, pero al closing, Accellion descubrió que cerca de 90 fueron atacadas, 35 de las cuales sufrieron un «impacto significativo».

La brecha en Accellion resultó en el robo de datos de los clientes y, más tarde, en intentos de extorsión utilizados como palanca por los ciberdelincuentes. El proveedor emitió un parche para el primer ataque de día cero en diciembre, dentro de las 72 horas posteriores al descubrimiento, y también instó a los clientes a pasar a su actual plataforma de firewall Kiteworks. Pero el 1 de febrero, revelaron que los atacantes habían vuelto a hacerlo utilizando un segundo conjunto de vulnerabilidades en la plataforma.

Mandiant descubrió que los datos de empresas en los EE. UU., Canadá, los Países Bajos y Singapur se habían incluido en un sitio de la Dark Web con vínculos con la banda rusa de delitos informáticos conocida como Fin11. Kroger, Jones Day y Singtel se encontraban entre las víctimas de la violación de Accellion.

Accellion redobló sus esfuerzos para instar a los clientes a cerrar los sistemas FTA. «La gran mayoría nos escuchó y apagó los sistemas», dijo Yaron. «Es por eso que no más del 10% [of Accellion customers] fue fuertemente penetrado «.

‘Esto es Loco’

Un cliente de Fortune 100 se negó a cerrar su sistema FTA. Sostuvieron que sus operaciones eran demasiado críticas para interrumpirlas. «‘Vamos a monitorearlo, segundo a segundo'», recordó Yaron que le dijo su equipo de alta gerencia. «Dije, ‘esto es una locura’ … [but] lograron mantener fuera a los perpetradores «.

Blount de Colonial Pipeline dice que se estaba preparando para trabajar temprano el 7 de mayo cuando le informaron sobre el ataque a su empresa. «Recibí la noticia de que habíamos recibido un ataque de ransomware a través de uno de nuestros sistemas en nuestra sala de command», recordó. «En el momento en que me notificaron, ya habíamos emprendido la tarea de cerrar 5.500 millas de tubería. Los empleados están capacitados para hacerlo cuando perciben un riesgo como puede imaginar, no sabíamos lo que tenía en ese momento. Sabíamos que teníamos una amenaza, sabíamos que la amenaza tenía que ser contenida, y por lo tanto cerramos el oleoducto para hacer eso «.

El cierre fue un procedimiento de respuesta estándar al identificar un riesgo y remediarlo. En ese momento, al principio de la investigación, dijo Blount, no hubo confirmación de si los sistemas de TI u OT estaban en riesgo, o si la tubería estaba en riesgo físico, por lo que optaron por cerrarla como medida de precaución. «Sabíamos que teníamos un ataque de ransomware, pero ¿teníamos potencialmente un ataque físico? ¿Podría ser un estado-nación que intenta causar daño a los EE. UU.? Así que aumentamos y cerramos el oleoducto en una hora».

A diferencia de la mayoría de las víctimas de ransomware que pagan, Colonial Pipeline terminó recuperando la mayor parte de su dinero. La recuperación del rescate por parte del FBI fue «una gran victoria para nosotros como comunidad de seguridad», dijo Carmakal de Mandiant.

Colonial Pipeline entregó al FBI su billetera bitcoin un día después del pago, lo que ayudó a la agencia a recuperar el dinero con éxito, según Blount. «El gobierno estaba muy concentrado en ayudarnos a recuperar nuestros sistemas y ayudar a aliviar un ataque legal en todo el país, francamente», dijo.



Enlace a la noticia first