The Colonial Pipeline Hack es un nuevo extremo para el ransomware

Durante años, el La industria de la ciberseguridad advirtió que los piratas informáticos patrocinados por el estado podrían cerrar grandes extensiones de la infraestructura energética de EE. UU. en un acto de guerra cibernética con motivos geopolíticos. Pero ahora, aparentemente, los piratas informáticos ciberdelincuentes centrados en las ganancias han provocado una interrupción que los piratas informáticos militares y de las agencias de inteligencia nunca se han atrevido a hacer, cerrando un oleoducto que transporta casi la mitad del combustible consumido en la costa este de los Estados Unidos.

El sábado, la compañía Colonial Pipeline, que opera un oleoducto que transporta gasolina, combustible diesel y gas natural a lo largo de un camino de 5.500 millas desde Texas a Nueva Jersey, emitió un comunicado confirmando informes de que piratas informáticos de ransomware habían atacado su red. En respuesta, Colonial Pipeline dice que cerró partes de la operación del oleoducto en un intento por contener la amenaza. El incidente representa una de las mayores interrupciones de la infraestructura crítica estadounidense por parte de piratas informáticos en la historia. También proporciona una demostración más de la gravedad de la epidemia mundial de ransomware.

“Este es el mayor impacto en el sistema energético de los Estados Unidos que hemos visto a partir de un ciberataque, punto final”, dice Rob Lee, director ejecutivo de Dragos, la empresa de seguridad centrada en infraestructura crítica. Aparte del impacto financiero en Colonial Pipeline o los muchos proveedores y clientes del combustible que transporta, Lee señala que alrededor del 40 por ciento de la electricidad de EE. UU. En 2020 se produjo mediante la quema de gas natural, más que cualquier otra fuente. Eso significa, argumenta, que la amenaza de ataques cibernéticos en un oleoducto presenta una amenaza significativa para la red eléctrica civil. “Tiene una capacidad real para impactar el sistema eléctrico de una manera amplia al cortar el suministro de gas natural. Esto es un gran problema”, agrega. “Creo que el Congreso va a tener preguntas. Un proveedor fue atacado con ransomware por un acto delictivo, esto ni siquiera fue un ataque patrocinado por el estado y afectó al sistema de esta manera”.

La breve declaración pública de Colonial Pipeline dice que ha “iniciado una investigación sobre la naturaleza y el alcance de este incidente, que está en curso”. Reuters informa que los equipos de respuesta a incidentes de la firma de seguridad FireEye están ayudando a la empresa y que los investigadores sospechan que un grupo de ransomware conocido como Darkside puede ser el responsable. Según un informe de la firma de seguridad Cybereason, Darkside ha comprometido a más de 40 organizaciones de víctimas y les ha exigido entre 200.000 y 2 millones de dólares en rescate.

El cierre de Colonial Pipeline se produce en medio de una creciente epidemia de ransomware: los piratas informáticos paralizaron digitalmente y extorsionaron hospitales, piratearon bases de datos policiales y amenazaron con sacar públicamente a los informantes policiales y paralizaron los sistemas municipales en Baltimore y Atlanta.

La mayoría de las víctimas de ransomware nunca publican sus ataques. Pero Lee dice que su empresa ha experimentado un aumento significativo en las operaciones de ransomware dirigidas a los sistemas de control industrial y la infraestructura crítica, ya que los piratas informáticos centrados en las ganancias buscan los objetivos más sensibles y de mayor valor para mantenerlos en riesgo. “Los delincuentes están empezando a pensar en apuntar a la industria y en los últimos siete u ocho meses hemos visto un aumento en los casos”, dice Lee. “Creo que veremos mucho más”.

De hecho, los operadores de ransomware han tenido cada vez más víctimas industriales en la mira en los últimos años. Hydro Norsk, Hexion y Momentive fueron afectados por ransomware en 2019, y los investigadores de seguridad descubrieron el año pasado Ekans, el primer ransomware aparentemente diseñado a medida para paralizar los sistemas de control industrial. Incluso apuntar a un operador de gasoductos no es del todo sin precedentes: a fines de 2019, los piratas informáticos plantaron ransomware en las redes de una compañía de gasoductos de gas natural estadounidense no identificada, advirtió la Agencia de Seguridad de Infraestructura y Ciberseguridad a principios de 2020, aunque no una del tamaño de Colonial. Pipeline’s.

En ese ataque de ransomware de canalización anterior, CISA advirtió que los piratas informáticos habían obtenido acceso tanto a los sistemas de TI como a los sistemas de “tecnología operativa” de la empresa de canalización objetivo, la red informática responsable de controlar el equipo físico. En el caso de Colonial Pipeline, aún no está claro si los piratas informáticos salvaron esa brecha con los sistemas que realmente podrían haberles permitido entrometerse en el estado físico de la tubería o crear condiciones físicas potencialmente peligrosas. El simple hecho de obtener un amplio acceso a la red de TI podría ser motivo suficiente para que la empresa cierre la operación del oleoducto como medida de seguridad, dice Joe Slowik, investigador de seguridad de Domaintools que anteriormente dirigió el Equipo de Respuesta a Incidentes y Seguridad Informática en el Departamento de EE. UU. Energía. “El operador hizo lo correcto en este caso como respuesta a los eventos”, dice Slowik. “Una vez que ya no pueda garantizar un control positivo sobre el medio ambiente y una visibilidad clara de las operaciones, deberá cerrarlo”.

.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.