{"id":21893,"date":"2021-05-17T09:54:03","date_gmt":"2021-05-17T15:54:03","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=21893"},"modified":"2021-05-17T09:54:03","modified_gmt":"2021-05-17T15:54:03","slug":"pipeline-ransomware-mitigation","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/pipeline-ransomware-mitigation\/21893\/","title":{"rendered":"El ataque de ransomware a Colonial Pipeline"},"content":{"rendered":"

El ataque reciente de ransomware a Colonial Pipeline, la empresa que controla la red de oleoductos que suministran combustible a una gran parte de la costa este de los Estados Unidos, es uno de los m\u00e1s notorios. Por lo que es entendible que los detalles del ataque no se hayan hecho p\u00fablicos. Sin embargo, cierta informaci\u00f3n se ha colado a los medios y a partir de esta podemos sacar una lecci\u00f3n: El aviso oportuno a las autoridades puede reducir el da\u00f1o. Por supuesto, no todos tienen opci\u00f3n: en algunos estados, las v\u00edctimas est\u00e1n obligadas a informar a los reguladores. Sin embargo, esta medida puede ser \u00fatil, incluso si no es requerida, .<\/p>\n

El ataque<\/h2>\n

El 7 de mayo, un ransomware atac\u00f3 Colonial Pipeline, quien opera el oleoducto de transferencia de combustible m\u00e1s grande de la costa este de los Estados Unidos. Los empleados tuvieron desactivar algunos sistemas de informaci\u00f3n, en parte debido a que algunas computadoras estaban cifradas, y en parte para evitar que la infecci\u00f3n se extendiera. Esto ocasion\u00f3 retrasos en el suministro de combustible a lo largo de la costa este, lo que dispar\u00f3 el costo de la gasolina en 4 %.\u00a0 Para mitigar el da\u00f1o, la empresa planea incrementar las entregas de combustible<\/a>.<\/p>\n

La empresa contin\u00faa restaurando sus sistemas, pero de acuerdo con las fuentes del blog Zero Day<\/a>, el problema no yace en las redes de servicio sino en el sistema de facturaci\u00f3n.<\/p>\n

Cierre federal<\/h2>\n

Los operadores de ransomware moderno no solo cifran datos y exigen rescates para descifrarlos, sino que tambi\u00e9n roban informaci\u00f3n como palanca para la extorsi\u00f3n. En el caso de Colonial Pipeline, los atacantes extrajeron aproximadamente 100GB<\/a> de datos de la red corporativa.<\/p>\n

Sin embargo, de acuerdo con el Washington Post<\/a>, investigadores externos del incidente r\u00e1pidamente descubrieron qu\u00e9 pas\u00f3 y d\u00f3nde estaban los datos robados, y se comunicaron con el FBI. Por su parte, la agencia se comunic\u00f3 con el proveedor de servicios de Internet propietario del servidor que alojaba la informaci\u00f3n cargada y les pidi\u00f3 que la aislaran. Como resultado, los cibercriminales pudieron haber perdido el acceso a la informaci\u00f3n que robaron de Colonial Pipeline. Este r\u00e1pido actuar mitig\u00f3 el da\u00f1o, al menos de forma parcial.<\/p>\n

Si bien saber qu\u00e9 pas\u00f3 no restaura los principales oleoductos de la empresa, si evit\u00f3 que el da\u00f1o fuera mucho mayor.<\/p>\n

Atribuci\u00f3n<\/h2>\n

Al parecer, la empresa fue atacada por el ransomware DarkSide, que puede ejecutarse en Windows y Linux. Los productos de Kaspersky detectan el malware<\/em> como Trojan-Ransom.Win32.Darkside y Trojan-Ransom.Linux.Darkside. DarkSide utiliza algoritmos de cifrado potentes, por lo que la restauraci\u00f3n de datos sin la clave correcta es imposible.<\/p>\n

A simple vista, el grupo DarkSide parece<\/a> un proveedor de servicios online, con mesa de ayuda, departamento de relaciones p\u00fablicas y centro de prensa. Una nota en el sitio web de los criminales dice que su motivaci\u00f3n para el ataque fue financiera, no pol\u00edtica.<\/p>\n

\"\"<\/p>\n

El grupo DarkSide utiliza un modelo ransomware como servicio<\/a>, proporcionando software e infraestructura relacionada a los socios que llevan a cabo el ataque. Uno de estos socios fue responsable de dirigir el ataque contra Colonial Pipeline. De acuerdo con DarkSide, el grupo no ten\u00eda la intenci\u00f3n de causar consecuencias tan serias, y, en adelante, pondr\u00e1n m\u00e1s atenci\u00f3n a las v\u00edctimas que sus \u201cintermediarios\u201d elijan. Sin embargo, es dif\u00edcil tomar una declaraci\u00f3n de una larga lista de trucos de relaciones p\u00fablicas muy en serio.<\/p>\n

C\u00f3mo mantenerse seguro<\/h2>\n

Para que protejas tu empresa del ransomware, nuestros expertos recomiendan:<\/p>\n