¡Cuidado con los ataques ransomware!: ¿Qué son y cómo prevenirlos?

Continúan los ataques a la infraestructura crítica. En este caso, un duro golpe al transporte de hidrocarburos provocó el cierre de operaciones de uno de los mayores oleoductos de Estados Unidos.

El 8 de mayo, la compañía de oleoductos Colonial Pipelines anunció que había sido víctima de un ataque tipo ransomware. Colonial Pipelines transporta 100 millones de galones de combustible diariamente para satisfacer la demanda de la costa este de los Estados Unidos, desde Texas hasta Nueva York.

«En respuesta al incidente, desconectamos proactivamente ciertos sistemas para contener la amenaza que ha detenido temporalmente todas las operaciones de tuberías y ha afectado a algunos de nuestros sistemas de TI», informó Colonial Pipelines en un comunicado oficial.  Continuó diciendo que restaurar su servicio era su objetivo principal. Con esto en mente, la compañía lanzó una actualización el 9 de mayo en la que reveló su trabajo para desarrollar un plan de restablecimiento del servicio. Su estrategia incluye poner en funcionamiento líneas más pequeñas, mientras que algunas de sus líneas principales permanecerán fuera de servicio.

Este ataque cae en la categoría de ataques altamente dirigidos, con un alto nivel de sofisticación. A raíz del impacto generado por el mismo, la Administración Federal de Seguridad de Transportistas de Automóviles (FMCSA) emitió una declaración de emergencia en la que eximió a 17 estados y al Distrito de Columbia de ciertas restricciones relacionadas con el transporte de productos refinados de petróleo por parte de transportistas y conductores de automóviles.

¿Qué es ransomware y qué implica ser víctima de este tipo de ataques?

¿Quién fue el responsable?

El FBI confirmó el 10 de mayo que la banda ransomware DarkSide fue responsable del ataque. DarkSide es un grupo de ransomware relativamente nuevo asociado con un nuevo actor de amenazas que se ha visto en escena desde el 2020.

Los responsables de DarkSide están muy organizados y tienen un ransomware maduro como un modelo de negocio de servicio (RaaS) y un programa de afiliados o partners.  El grupo tiene un número de teléfono e incluso una mesa de ayuda para facilitar las negociaciones y recopilar información sobre sus víctimas. Pueden recopilar información técnica sobre su entorno y detalles más generales relacionados con la propia empresa, como el tamaño de la organización y los ingresos estimados.

DarkSide parece centrarse en atacar principalmente a compañías de países de habla inglesa, mientras que evita a las de países asociados con antiguas naciones del bloque soviético. Esta banda tiene un código de conducta que prohíbe los ataques contra hospitales, escuelas, universidades, organizaciones sin fines de lucro y agencias gubernamentales. Sin duda, ese código de conducta es un esfuerzo para establecer un nivel de confianza en las víctimas y aumentar la probabilidad de que paguen.

¿Cómo sucede el ataque?

DarkSide sigue la tendencia de doble extorsión, donde los actores de las amenazas primero capturan información sensible almacenada en los sistemas de la víctima antes de lanzar la rutina de cifrado. Después de que el ransomware cifra los datos del cliente objetivo, emite la solicitud de rescate para el pago a cambio de la clave de descifrado. Adicionalmente y si no se paga por el secuestro o captura de información, se amenaza al cliente con hacer pública toda la información capturada.

Esto significa que el objetivo todavía se enfrenta a la perspectiva de tener que pagar el rescate, independientemente de si emplearon o no copias de seguridad de datos como medida de precaución. En última instancia, la banda DarkSide exige entre $200,000 y $2 millones a sus víctimas, basado en datos de ataques anteriores.

Aspectos clave de DarkSide

Amenaza emergente

En un corto período de tiempo, el grupo DarkSide ha establecido una reputación de ser un grupo muy «profesional» y «organizado». A la fecha ha generado millones de dólares en ganancias ejecutando ataques tipo ransomware.

Alta gravedad

El equipo de Cybereason Nocturnus evalúa el nivel de amenaza como alto, dado el potencial destructivo de los ataques.

Ataque operado por humanos

Antes del despliegue del ransomware, los atacantes intentan infiltrarse y moverse lateralmente por toda la organización, llevando a cabo una operación de ataque totalmente elaborado.

Apuntando hacia el controlador de dominio

El grupo DarkSide apunta a controladores de dominio, lo que pone en gran riesgo los destinos y todo el entorno de red. Este tipo de técnicas permiten a los atacantes moverse lateralmente a través de la red, y permiten cifrar más datos/sistemas rápidamente.

Lo que hace esto posible es la cantidad de trabajo que se dedica a aprender sobre el objetivo. Eso es lo que hace que el ataque del oleoducto Colonial Pipelines sea tan peculiar.  El grupo DarkSide emitió un comunicado en su sitio web «DarkSide Leaks» el 10 de mayo en el que parecía sugerir que uno de sus «aliados» o «partners» había estado detrás del ataque contra Colonial Pipelines. Se afirmó que examinaría los ataques de sus aliados en el futuro.

¿Qué deben hacer las organizaciones para defenderse?

Largos períodos de investigación y respuesta a incidentes después de un ataque ransomware exitoso no son suficientes. Si se decide no responder ante el ransomware y hacer caso omiso del ataque, se corre el riesgo de ponerse en una situación en la que se deben pagar una cifra más alta o se deba pagar por más rescates. La prevención es clave para defenderse contra los ataques tipo ransomware.

Las organizaciones deben detectar el ataque en las primeras etapas y bloquear la amenaza de forma directa. Esto requiere una estrategia de varias capas centrada en la operación, donde los Indicadores de Comportamiento (IOBs) se aprovechan para detectar y remediar más rápido de lo que los atacantes pueden adaptar sus tácticas. Se requiere compromiso de la organización y de los empleados, además de procedimientos definidos apoyados en tecnología que esté en capacidad de permitir, proteger, detectar y responder.  Dentro de las recomendaciones a implementar están:

1. Tener herramientas para descubrir y evaluar los riesgos de sus activos. Es de vital importancia conocer el inventario y salud de todos sus elementos en la red.
2. La prevención de amenazas empieza con una correcta segmentación de la red.
3. Verificar los accesos remotos y los privilegios que se otorgan a empleados y terceros.
4. Implementar soluciones de seguridad sobre dispositivos con sistemas operativos.
5. Verificar la versión de firmware que corre sobre los equipos. Tratar de que esta sea la más actual posible con respecto a las versiones liberadas por el proveedor.
6. Contar con un buen back-up y un plan de respuesta a incidentes puede levantar la operación en caso de que algo pase.

Si desea obtener más información sobre ciberseguridad, no dude en ponerse en contacto con nosotros aquí. Puede conocer más sobre nuestras soluciones en ciberseguridad aquí. Si nos visita de Centroamérica, visite nuestro sitio web de la región.

Descubre más de nuestras soluciones para el segmento de «oil and gas» aquí y contáctanos aquí para más dudas. Si nos visitas de Centroamérica, visita nuestro sitio web de la región.

Se parte de la transformación digital industrial 

En Schneider Electric estamos comprometidos con acompañarte a ti y a tu negocio hacia la transformación digital. Este año te invitamos a formar parte de Industrial Transformation México, un evento de Hannover Messe. Encontrarás exposiciones, conferencias y un amplio programa educativo sobre temas relacionados con la transformación digital en México y la manufactura inteligente. No te pierdas esta oportunidad de ser testigo de lo último en tecnología e innovación industrial, del 6 al 8 de Octubre. Conoce más y regístrate aquí.

Etiquetas: ciberataque, ciberataques, ciberseguridad, ransomware