El ataque reciente de ransomware a Colonial Pipeline, la empresa que controla la red de oleoductos que suministran combustible a una gran parte de la costa este de los Estados Unidos, es uno de los más notorios. Por lo que es entendible que los detalles del ataque no se hayan hecho públicos. Sin embargo, cierta información se ha colado a los medios y a partir de esta podemos sacar una lección: El aviso oportuno a las autoridades puede reducir el daño. Por supuesto, no todos tienen opción: en algunos estados, las víctimas están obligadas a informar a los reguladores. Sin embargo, esta medida puede ser útil, incluso si no es requerida, .
El ataque
El 7 de mayo, un ransomware atacó Colonial Pipeline, quien opera el oleoducto de transferencia de combustible más grande de la costa este de los Estados Unidos. Los empleados tuvieron desactivar algunos sistemas de información, en parte debido a que algunas computadoras estaban cifradas, y en parte para evitar que la infección se extendiera. Esto ocasionó retrasos en el suministro de combustible a lo largo de la costa este, lo que disparó el costo de la gasolina en 4 %. Para mitigar el daño, la empresa planea incrementar las entregas de combustible.
La empresa continúa restaurando sus sistemas, pero de acuerdo con las fuentes del blog Zero Day, el problema no yace en las redes de servicio sino en el sistema de facturación.
Cierre federal
Los operadores de ransomware moderno no solo cifran datos y exigen rescates para descifrarlos, sino que también roban información como palanca para la extorsión. En el caso de Colonial Pipeline, los atacantes extrajeron aproximadamente 100GB de datos de la red corporativa.
Sin embargo, de acuerdo con el Washington Post, investigadores externos del incidente rápidamente descubrieron qué pasó y dónde estaban los datos robados, y se comunicaron con el FBI. Por su parte, la agencia se comunicó con el proveedor de servicios de Internet propietario del servidor que alojaba la información cargada y les pidió que la aislaran. Como resultado, los cibercriminales pudieron haber perdido el acceso a la información que robaron de Colonial Pipeline. Este rápido actuar mitigó el daño, al menos de forma parcial.
Si bien saber qué pasó no restaura los principales oleoductos de la empresa, si evitó que el daño fuera mucho mayor.
Atribución
Al parecer, la empresa fue atacada por el ransomware DarkSide, que puede ejecutarse en Windows y Linux. Los productos de Kaspersky detectan el malware como Trojan-Ransom.Win32.Darkside y Trojan-Ransom.Linux.Darkside. DarkSide utiliza algoritmos de cifrado potentes, por lo que la restauración de datos sin la clave correcta es imposible.
A simple vista, el grupo DarkSide parece un proveedor de servicios online, con mesa de ayuda, departamento de relaciones públicas y centro de prensa. Una nota en el sitio web de los criminales dice que su motivación para el ataque fue financiera, no política.
El grupo DarkSide utiliza un modelo ransomware como servicio, proporcionando software e infraestructura relacionada a los socios que llevan a cabo el ataque. Uno de estos socios fue responsable de dirigir el ataque contra Colonial Pipeline. De acuerdo con DarkSide, el grupo no tenía la intención de causar consecuencias tan serias, y, en adelante, pondrán más atención a las víctimas que sus “intermediarios” elijan. Sin embargo, es difícil tomar una declaración de una larga lista de trucos de relaciones públicas muy en serio.
Cómo mantenerse seguro
Para que protejas tu empresa del ransomware, nuestros expertos recomiendan:
- Prohibir conexiones innecesarias a servicios de equipo de escritorio remotos (como RDP o Protocolo de Escritorio Remoto) desde redes públicas, y siempre utilizar contraseñas seguras para estos servicios.
- Instalar todos los parches disponibles para soluciones VPN que utilices para que los trabajadores remotos se conecten a la red corporativa.
- Actualizar el software de todos los dispositivos conectados a fin de evitar la explotación de las vulnerabilidades.
- Centrar la estrategia de defensa en detectar el movimiento lateral y la exfiltración de datos, especialmente en todo el tráfico de salida.
- Respaldar los datos con frecuencia y asegurar que en caso de emergencia tengas acceso inmediato a los respaldos.
- Utiliza los datos de inteligencia de amenazas para mantenerte actualizado sobre las tácticas, técnicas y procedimientos de ataque.
- Utiliza soluciones de seguridad como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response las cuales ayudan a detener los ataques desde el inicio.
- Capacita a tus empleados para que presten atención a la seguridad del entorno corporativo.
- Utiliza una solución de confianza para protección de endpoints que contrarreste los exploits y detecte comportamiento anómalo y que, además, pueda revertir los cambios maliciosos y restaure el sistema.
El ejemplo de Colonial Pipeline muestra la ventaja de apresurar el contacto a las autoridades legales. No hay garantía de que podrán ayudar, por supuesto, pero podría disminuir el daño.