En el último incidente que ilustra la superposición de la economía y la infraestructura tradicionales con las realidades digitales de los negocios modernos, una de las tuberías más grandes de EE. UU. Se vio obligada a cerrar el fin de semana pasado después de ser atacada por un grupo de ransomware.

Administrado por Colonial Pipeline Co., el gasoducto de 5.500 millas atraviesa 14 estados entre Houston, TX y el puerto de Nueva York, y proporciona alrededor del 45% de todo el combustible para la costa este de EE. UU.

Los primeros informes indican que los sistemas de Colonial se vieron comprometidos el jueves, cuando se robaron casi 100 gigabytes de datos antes de ser encriptados, lo que lo convierte en el ataque de ransomware más reciente en emplear la estrategia de exfiltración que Acronis predijo que sería una tendencia importante este año.

Los detalles del ataque aún se están revelando, pero esto es lo que sabemos.

¿Qué está pasando con el oleoducto?

Como medida de precaución, Colonial cerró el oleoducto para evitar la infección de sus sistemas comerciales y comprometer los sistemas de control operativo del oleoducto. Colonial está trabajando con expertos de la industria para restaurar el servicio. Mientras tanto, el transporte de combustible se ha trasladado a camiones cisterna para garantizar que el suministro de combustible no se interrumpa por completo. El impacto más amplio del ataque dependerá de cuánto dure.

Lo último de Colonial fue una declaración: "Restaurar nuestra red a operaciones normales es un proceso que requiere la remediación diligente de nuestros sistemas, y esto lleva tiempo ... el equipo de operaciones de Colonial está ejecutando un plan que involucra un proceso incremental que un regreso al servicio en un enfoque por fases ".

Esto tiene sentido ya que los sistemas industriales como los que se enfocan en este ataque son más complejos que los sistemas de TI tradicionales. Deben reiniciarse en una secuencia precisa, lo que hace que el proceso de recuperación sea aún más engorroso.

No está claro exactamente cuánto tiempo llevará, pero vale la pena señalar que el promedio de recuperación completa puede ser de 16 días .

¿Cómo entraron los atacantes al sistema?

El vector de ataque inicial que infringió la empresa aún no se ha revelado, por lo que no está claro si los correos electrónicos, las contraseñas débiles o el software sin parches desempeñaron un papel en este incidente en particular. Cada uno de ellos es un vector de ataque común y efectivo, y el correo electrónico se identifica como el vector principal en 2020.

Este incidente ilustra que cualquier sector puede convertirse en víctima de un delito cibernético, especialmente los ataques de ransomware.

¿Por qué los atacantes robaron datos y luego los cifraron?

Al igual que otros analistas de ciberseguridad, los expertos de nuestra red global de centros de protección de operaciones cibernéticas de Acronis han visto una tendencia emergente de atacantes de ransomware que se centran en nuevas formas de optimizar el rendimiento financiero de sus ataques. En lugar de simplemente exigir que la víctima pague un rescate para descifrar sus archivos afectados, los delincuentes de ransomware ahora están robando datos confidenciales y patentados antes de cifrarlos, y luego exigen un pago para detener la difusión pública de esa información robada.

De hecho, nuestros analistas de CPOC han encontrado evidencia de más de 2,000 empresas en todo el mundo que recientemente sufrieron una fuga de datos luego de un ataque de ransomware. Esperamos que este cambio de estrategia continúe entre los delincuentes de ransomware.

¿Quién está detrás del ataque de ransomware?

Varios informes de los medios identificaron al grupo de ransomware DarkSide como responsable del ataque, que luego fue corroborado por el FBI.

El propio grupo de ransomware finalmente confirmó su participación, emitiendo una declaración de que es apolítico y no tiene vínculos con ningún gobierno específico. “Nuestro objetivo es ganar dinero y no crear problemas para la sociedad”.

El grupo parece haber aclarado su naturaleza apolítica ya que ciertos estados-nación recurren cada vez más a los ciberataques como una forma de ejercer presión sobre sus rivales. Debido a que este ataque tuvo como objetivo a un importante actor de infraestructura energética en los EE. UU. Y se presume que el grupo DarkSide tiene vínculos con los antiguos estados soviéticos (dado que su ransomware no atacará a las empresas de habla rusa, kazaja y ucraniana ), se podría suponer que el grupo estaba trabajando con un rival estadounidense en la región.

Si bien no hay forma de estar seguro, el motivo financiero parece coincidir con lo que reveló el informe de la Casa Blanca, cuando el asesor adjunto de seguridad nacional para cibernética y tecnología emergente informó que el incidente fue el resultado de ransomware como servicio.

Pensamiento final

El ataque de ransomware Colonial Pipeline no es el primero en apuntar a la infraestructura crítica y ciertamente no será el último. Si bien DarkSide afirma que no se dirigirá a hospitales, escuelas y agencias gubernamentales, otros grupos de ransomware lo harán. Y además, los ataques de DarkSide pueden acabar con un gran sector de la economía simplemente apuntando al negocio correcto.

Cualquier organización que confíe en sus datos y sistemas de TI es vulnerable. En el mundo de hoy, eso es todo negocio.

Es por eso que Acronis cree que todas las organizaciones, ya sea que administren su propia protección de TI o que dependan de un proveedor de servicios administrados (MSP), deberían adoptar estrategias de protección cibernética que puedan eliminar el riesgo de tales ataques.