Las señales apuntan al hecho de que fue DarkSide, un grupo de piratas informáticos similar a Robin Hood que ejecutó con éxito un ransomware ataque que cerró el Colonial Pipeline con sede en Georgia. Hay informes contradictorios sobre cómo incidente impactará aún más en la distribución de petróleo nacional de EE. UU. a los estados del este y en los precios del gas.
Las empresas privadas que trabajan con agencias gubernamentales de Estados Unidos cierran los servidores en la nube desde los que se lanzaron los ataques al Colonial Pipeline y otras 12 empresas. También recuperaron los datos robados con destino a Rusia.
El oleoducto principal ha estado cerrado durante varios días. Si bien las tuberías más pequeñas también se vieron afectadas, primero se restauraron como parte de un plan por fases. El oleoducto se extiende desde Texas hasta el noreste, entregando alrededor del 45% del combustible consumido por la costa este..
Los Hechos
El viernes 7 de mayo, Colonial Pipeline anunció que sus operaciones se habían detenido como resultado de un incidente de ransomware que cerró la tubería principal y las tuberías más pequeñas. La respuesta al incidente comenzó el día anterior, el jueves.
Para el domingo, las líneas más pequeñas volvieron a estar operativas. Sin embargo, la línea principal permanece inactiva al momento de escribir este artículo. A principios de la semana, el presidente Joe Biden trabajó con el Departamento de Transporte para levantar las restricciones de horas de transporte de petróleo para mantener el flujo de los productos de gas. El miércoles, la Casa Blanca publicó un Orden ejecutiva sobre la mejora de la seguridad cibernética nacional. El Oleoducto Colonial ya está en pleno funcionamiento, pero no antes de que los consumidores, presa del pánico, empezaran a acumular gasolina y a quejarse del aumento de precios.
El Oleoducto Colonial transporta más de 2.5 millones de barriles por día de diésel, gasolina, combustible para aviones y gas natural a través de gasoductos de la Costa del Golfo que se extienden por más de 5,500 millas.
Reuters informó que los piratas informáticos robaron más de 100 GB de datos y que el FBI y otras agencias gubernamentales habían colaborado con éxito con empresas privadas para eliminar los servidores en la nube que los piratas informáticos usaban para robar los datos. El monto del rescate permanece sin revelar, al igual que la respuesta de Colonial Pipelines al intento de extorsión.
DarkSide afirma que no se dirige a escuelas, hospitales, hogares de ancianos u organizaciones gubernamentales y que dona parte de su recompensa a organizaciones benéficas. Según los informes, el grupo exige el pago de una clave de descifrado y cada vez más exige un pago adicional para no publicar datos robados. DarkSide también declaró en su sitio web recientemente que no está motivado geopolíticamente.
Lecciones aprendidas
La infraestructura crítica de Estados Unidos se ha convertido en un objetivo popular de la guerra cibernética. El punto débil ha sido el envejecimiento de los sistemas de control industrial y tecnológico (ICS) que pueden carecer de seguridad física y cibernética adecuada.
El problema no es nuevo pero la cantidad de ataques sigue aumentando.
Consejos Rápidos
Ninguna empresa es inmune a un ataque de ransomware.
- <div style="margin-top:15px">Límite</div> Privilegios administrativos.
- Limite el uso de hardware y software a hardware y software autorizados. Si bien esto puede no ser posible en todas las organizaciones, es importante para las organizaciones de infraestructura crítica.
- Monitoree el comportamiento del sistema, la aplicación, la red y el usuario para detectar actividades anómalas.
- Realice una evaluación exhaustiva de la seguridad cibernética que implique pruebas de penetración de sombrero blanco. Las organizaciones de infraestructura crítica deben verificar las debilidades físicas y cibernéticas.
- Fortalece los puntos blandos.
- Tener una plan de respuesta a incidentes en el lugar que involucra operaciones, finanzas, legal, cumplimiento, TI, gestión de riesgos y comunicaciones.
- Patch software lo antes posible.
- Capacitar y actualizar a la fuerza laboral en higiene cibernética.
- Si su empresa es atacada, contrate a una empresa que se especialice en forense. Comuníquese con la policía local y federal, según corresponda.
Fuente: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline
