Ciberataque de ransomware al oleoducto Colonial Pipeline
El caso de Colonial Pipeline se suma a la larga lista de los peores incidentes –hasta la fecha– debido a un ciberataque contra las infraestructuras críticas, lo que demuestra cuán vulnerables estas pueden llegar a ser. A continuación el detalle sobre el ataque y qué es necesario replantearse en cuanto a la seguridad de TI de las empresas.
Como se sabe, Colonial Pipeline tiene la infraestructura de combustible refinado más grande de los Estados Unidos, con 8551 km de longitud, desde Houston hasta el puerto de Nueva York.
La empresa dio a conocer, el último 7 de mayo, que había sido víctima de un ciberataque que involucraba al famoso ransomware DarkSide –que pertenece al grupo de ciberdelincuentes que lleva el mismo nombre y que tiene bastante actividad en los últimos tiempos– y por el cual debió detener sus operaciones.
Parte de las acciones y medidas inmediatas que tomó la organización fue la desconexión proactiva de algunos sistemas para intentar contener la propagación de la amenaza sobre más sistemas y procesos, aunque el ataque ya había golpeado fuertemente.
DarkSide, ¿un viejo conocido?
Este grupo relativamente nuevo, proveniente de Europa Este –concretamente, de Rusia–, según indican los investigadores, tuvo su primera aparición en el tercer trimestre del 2020 y se caracteriza por hacer uso del modelo de ransomware as a service (RaaS) y manejar el esquema de “doble extorsión” sobre las empresas y organizaciones que han sido objeto de este tipo de ciberataque.
Además de cifrar los datos de los usuarios, previamente los exfiltran y amenazan con venderlos al mejor postor en el mercado negro si es que no se les paga el rescate solicitado. De más está decir que estos rescates pueden llegar a oscilar entre 200.000 y 2 millones de dólares americanos.
Quizás te interese seguir leyendo
Tendencias de seguridad para el 2021 según nuestros expertos
Por otro lado, algunos expertos en seguridad mencionan cierta similitud en la forma de operar entre DarkSide y REvil –aún no está confirmado, pero hay muchos indicios sobre ello–. Analizando la forma de operar de REvil mediante el framework MITRE ATT&CK, vemos que este opera a través de 8 tácticas:
- Initial Access
- Execution
- Privilege Escalation
- Defense Evasion
- Discovery
- Command and Control
- Exfiltration e Impact
A continuación, una gráfica basada en el ATT&CK Navigator:
Este incidente no es el primero y no será tampoco el último, hoy estamos hablando de una de las infraestructuras críticas más importante de los Estados Unidos, pero mañana podríamos referirnos a tu compañía o a alguna infraestructura crítica situada en Sudamérica, si queremos verlo mucho más cercano.
Ingrese al siguiente link si quiere saber dónde esta parada su compañía:
Servicio de Assessment de Defensa contra Ransomware
En ese sentido, tocaría hacernos las siguientes preguntas: ¿estamos debidamente preparados para actuar ante este tipo de modus operandi?, ¿contamos con los controles, procesos y el expertise necesarios?, ¿seguiremos siendo reactivos o pasaremos a ser proactivos y predictivos? Y, lo más importante: ¿Tenemos el socio de seguridad de TI adecuado para enfrentar ataques como este?
Tanto si pudo como si no pudo contestar a las preguntas anteriores, podemos ayudarte.