10 may 2021

La mayor red de oleoductos de EE.UU. suspende sus operaciones por un ransomware

Colonial, la mayor red de oleoductos de Estados Unidos, se ha visto obligada a suspender sus actividades tras haber sufrido un ciberataque cuya autoría y alcance se desconocen, ha asegurado la empresa en un comunicado y el FBI. El corte afecta a las operaciones de Colonial en los 8.850 kilómetros de oleoductos que gestiona, vitales para abastecer a los grandes núcleos de población del este y el sur de Estados Unidos, incluida la región metropolitana de Nueva York, a donde llegan 380 millones de litros de combustible al día.

La organización habría sido atacado por un ransomware, aunque la empresa no ha dicho qué se exigió. Una persona cercana a la investigación, que habló bajo condición de anonimato, identificó al culpable como DarkSide, una de las bandas que profesionalizado la industria criminal que les ha costado a las naciones occidentales decenas de miles de millones de dólares en pérdidas en los últimos tres años. El ataque ha sido confirmado y EE.UU. ha declarado la emergencia en 17 Estados.

Darkside apareció en agosto de 2020, utilizando un modelo de negocio basado en Ransomware-as-a-Service (RaaS). El equipo de DarkSide recientemente anunció que DarkSide 2.0, con la velocidad de cifrado más rápida del mercado.

Al igual que muchas otras variantes de ransomware, DarkSide sigue la tendencia de la doble extorsión, lo que significa que los actores de la amenaza no solo cifran los datos del usuario, sino que primero exfiltran los datos y amenazan con hacerlos públicos si no se paga la demanda de rescate. Esta técnica hace que la estrategia de realizar copias de seguridad de los datos como precaución contra un ataque de ransomware sea discutible. Según IBM X-Force, el malware, una vez implementado, roba datos, cifra los sistemas mediante los protocolos de cifrado Salsa20 y RSA-1024 y ejecuta un comando de PowerShell codificado para eliminar instantáneas de volumen. SecureWorks los rastrea como Gold Waterfall y atribuye al grupo como un antiguo afiliado de habla rusa del servicio REvil ransomware RaaS.

La banda de ransomware publicó DarkSide Leaks, un sitio web de aspecto profesional y utilizan tácticas innovadoras para presionar a las víctimas y técnicas de marketing tradicionales.

La compañía transporta al día hasta 2,5 millones de barriles de gasolina, diésel y combustible de aviación desde las refinerías del golfo de México alrededor de Houston (Texas) hasta las grandes ciudades de la mitad oriental del país. El suministro de energía de Colonial es especialmente importante en la costa este del país, pues representa el 45% del transporte de combustible en esa área.

En un comunicado, la compañía dijo que "este incidente involucra a Ransomware y en respuesta, bajamos de manera proactiva ciertos sistemas para contener la amenaza, lo que ha detenido temporalmente todas las operaciones de tuberías y afectó a algunos de nuestros sistemas de TI". De acuerdo a Bloomberg y The Wall Street Journal, la división de respuesta a incidentes de la firma de ciberseguridad de FireEye está asistiendo con la investigación y ha realizado un informe técnico.

Mandiant actualmente rastrea cinco grupos de amenazas que han involucrado el despliegue de DARKSIDE. Estos grupos pueden representar diferentes afiliados de la plataforma DARKSIDE RaaS. A lo largo de los incidentes observados, el actor de la amenaza generalmente se basó en varias herramientas legítimas y disponibles públicamente que se utilizan comúnmente para facilitar las diversas etapas del ciclo de vida del ataque en los ataques de ransomware posteriores a la explotación.

A continuación se incluyen detalles adicionales sobre tres de estos grupos UNC (UNCategorized). UNC2628 ha estado activo desde al menos febrero de 2021. Sus intrusiones progresan relativamente rápido y el actor de amenazas generalmente implementa ransomware en dos o tres días. Hay evidencia e IOCs que sugiere que UNC2628 se ha asociado con otros RaaS, incluidos SODINOKIBI (REvil) y NETWALKER.

Colonial, que no ha especificado cuánto tiempo estará cerrada la red de ductos, ha contratado a una empresa de ciberseguridad "de primera línea" para investigar el suceso, además de alertar a las fuerzas de seguridad del Gobierno de Estados Unidos y otros organismos federales, ha explicado la firma en un comunicado. El ciberataque fue detectado este viernes y se conoció poco antes de la medianoche de ayer.

"Nuestro objetivo prioritario es restablecer con seguridad y eficiencia nuestros servicios para que vuelvan a funcionar con normalidad", asegura el comunicado.

Según la reportera del New York Times, Nicole Perlroth, un informe forense indica que el culpable dentro de la infraestructura de TI de Colonial eran los servidores vulnerables de Microsoft Exchange.

El ataque informático se produce poco antes de que el presidente de Estados Unidos, Joe Biden, firme, en los próximos días, una orden ejecutiva para incrementar la ciberseguridad en infraestructuras críticas para la economía del país. Según el diario The New York Times, el decreto presidencial podría demandar un incremento de los requisitos de seguridad a aquellas empresas que prestan servicios al Gobierno federal.

El cierre de un oleoducto tan vital, que ha servido a la costa este desde principios de la década de 1.960, destaca la vulnerabilidad de la infraestructura obsoleta que se ha conectado, directa o indirectamente, a Internet. En los últimos meses, señalan los funcionarios, la frecuencia y la sofisticación de los ataques de ransomware se han disparado, paralizando a víctimas tan variadas como el departamento de policía del Distrito de Columbia, los hospitales que tratan a pacientes con coronavirus y los fabricantes, que con frecuencia tratan de ocultar los ataques por vergüenza de que sus sistemas no funcionaran. perforado.

Washington contempla desde hace tiempo con preocupación la posibilidad de que países como China y Rusia puedan valerse de ciberataques contra infraestructuras básicas para golpear la economía, y a la vez minar la credibilidad de la primera superpotencia mundial. El último ejemplo es el hackeo masivo conocido como SolarWinds, que comprometió a millares de redes informáticas del Gobierno estadounidense y que empujó a la Casa Blanca a adoptar duras sanciones contra Rusia, a quien atribuyó el ataque.

Bloomberg dice que durante el ataque, se robaron más de 100 GB de datos corporativos en solo dos horas. Hasta ahora (11 de mayo), Colonial Pipeline no se ha agregado al sitio de fuga de DarkSide. LISTADO COMPLETO.

Este tipo de ataques es el motivo por el cual El Departamento de Justicia (DoJ) de EE.UU. ha creado un nuevo grupo de trabajo dedicado a contrarrestar los ataques de ransomware: Ransomware Task Force Framework (RTF)

La última vez que la red de oleoductos de Colonial se vio afectada por un corte fue con ocasión del huracán Harvey, que azotó el golfo de México en 2017.

Otro ataque a una planta petroquímica saudita en 2017 casi desencadena un gran desastre industrial. Pero se cerró rápidamente y los investigadores luego lo atribuyeron a delincuentes informáticos rusos. Este año, alguien tomó brevemente el control de una planta de tratamiento de agua en una pequeña ciudad de Florida en lo que parecía ser un esfuerzo por envenenar el suministro, pero el intento se detuvo rápidamente.

Más información

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!