El gobierno declaró el estado de emergencia regional tras un ciberataque a la mayor red de oleoducto del país, Oleoducto Colonial, dejándola inactiva.
Un grupo de ciber delincuentes logró desconectar por competo la infraestructura y robó más de 100 GB de información. Oleoducto Colonial transporta más de 2.5 millones de barriles de petróleo diariamente, incluyendo el 45% del suministro de diésel, gasolina y combustible que consumen los aviones de la costa este de los Estados Unidos.
A consecuencia del ataque, los daños probablemente se extiendan a los usuarios del crudo, ya que los precios del combustible se podrían incrementar en 2% o 3%, con el riesgo de agravarse si la medida de “apagón” adoptada se extienda por más tiempo.
A la fecha, continúan los trabajos por restablecer por completo el servicio e infraestructura tecnológica, y evaluar el impacto de la fuga de información sufrida. El estado de emergencia abarca 18 estados del país y se han tenido que flexibilizar las restricciones horarias de transporte de combustible por carretera.
Información relevante respecto al ciberataque a Oleoducto Colonial:
- El FBI confirmó que el grupo que realizó el ataque fue DarkSide. Estos mismos informaron que el objetivo del ataque es económico y no guardan relación con ningún gobierno.
- Oleoducto Colonial desconectó ciertos sistemas para contener la amenaza. Estas acciones detuvieron temporalmente todas las operaciones y afectaron algunas plataformas críticas.
- La empresa concesionaria del Oleoducto, Colonial Pipeline Co., está trabajando con las fuerzas del orden, expertos en seguridad cibernética y el Departamento de Energía para restaurar el servicio.
- De acuerdo a NBC, Colonial ha desembolsado hasta el momento 5 millones de dólares con la finalidad de retomar el control del oleoducto. Una vez realizado el pago, la empresa pudo habilitar infraestructura que se encontraba bloqueada.
- Las bandas criminales dedicadas a la extorsión por medio de ransomware como DarkSide suelen comprar en el mercado credenciales de acceso en el mercado negro. En este caso, DarkSide ha mencionado que desconocen cómo se obtuvieron los accesos a la red informática que ellos compraron.
- DarkSide se dio la libertad de dar algunas recomendaciones a Colonial por medio de Twitter, como el contar con un antivirus inteligente, implementar doble factor de autenticación a los sistemas críticos, entre otras.
¿Cómo ocurrió?
El ciberataque se produjo porque Dark Side identificó como filtrarse al sistema por el alto número de ingenieros que acceden de forma remota a los sistemas de control del oleoducto. Probablemente consiguieron detalles de inicio de sesión a partir de programas de acceso remoto, como Microsoft Remote Desktop (RDP) y TeamViewer.
Otro ataque de DarkSide sucediendo ahora
A pocos días de conocido el ataque a Colonial, se supo de la campaña “Lorenz” también orientada a una captura dirigida de sistemas mediante ransomware para luego solicitar cientos de miles de dólares de rescate a cambio de la liberación de los sistemas.
Comentario de Bafing respecto al ciberataque de Oleoducto Colonial
[Paolo Bisso – CEO] El mercado negro de venta de accesos y credenciales comprometidas ha crecido mucho en los últimos años. Hace poco se detectó una oportunidad de venta de 1.3 accesos login a servidores con RDP. El ransomware es hoy el formato más lucrativo de ataque y existen varios miles de bandas criminales que actúan explotando esta modalidad adquiriendo credenciales o realizando campañas de email fraudulento (phishing).
A las recomendaciones tecnológicas que la banda DarkSide enumeró (antivirus, doble factor de autenticación) se tiene que sumar el análisis continuo y remediación de vulnerabilidades que pueda determinar el riesgo de ciberseguridad de los activos críticos y no críticos. Y claro está, atender (y cumplir) un ciclo de gestión de la seguridad y adopción de marcos normativos internacionales.
[Richard Concha – Gerente Comercial] Una forma de contrarrestar el riesgo que representan las campañas globales de ransomware es el contar con un servicio de inteligencia de ciberseguridad que ayude a predecir comportamientos maliciosos y recoger indicadores de compromiso (IoC) que puedan sumar en los esfuerzos de prevención y/o detección.
Fuente: BBC
Para más información ingresar aquí.
Comentarios