El reciente ataque de ransomware contra Colonial Pipeline, la empresa que controla la red de oleoductos que suministran combustible a una gran parte de la costa este de los Estados Unidos, se considera como uno de los más notorios de los últimos años. Como es comprensible, los detalles del ataque no se han hecho públicos, sin embargo, cierta información se ha filtrado a los medios y a partir de esta podemos sacar una valiosa lección: el aviso oportuno a las autoridades puede reducir los daños. Por supuesto, no todos tienen opción: en algunos estados, las víctimas están obligadas a informar a los reguladores. Sin embargo, esta medida puede ser útil, incluso aunque no sea necesaria.
El ataque
El 7 de mayo, un ransomware atacó Colonial Pipeline, quien opera el oleoducto de transferencia de combustible más grande de la costa este de los Estados Unidos. Los empleados tuvieron que desactivar algunos sistemas de información, en parte debido a que algunos ordenadores habían sido cifrados y en parte para evitar que la infección se extendiera. Esto ocasionó retrasos en el suministro de combustible a lo largo de la costa este, lo que disparó el coste de la gasolina un 4 %. Para mitigar los daños, Colonial Pipeline planea incrementar las entregas de combustible.
La empresa continúa restaurando sus sistemas, pero de acuerdo con las fuentes del blog Zero Day, el problema no yace en las redes de servicio sino en el sistema de facturación.
El cierre federal
Ahora los operadores de ransomware no solo cifran datos y exigen rescates para descifrarlos, sino que también roban información que les ayude en el momento de la extorsión. En el caso de Colonial Pipeline, los atacantes extrajeron aproximadamente 100GB de datos de la red corporativa.
Sin embargo, de acuerdo con el Washington Post, los investigadores externos del incidente rápidamente descubrieron qué pasó y dónde estaban los datos robados y se pusieron en contacto con el FBI. Por su parte, los federales se comunicaron con el proveedor de servicios de Internet propietario del servidor que alojaba la información cargada y les pidió que la aislaran. Como resultado, los ciberdelincuentes pudieron haber perdido el acceso a la información que robaron de Colonial Pipeline. Esta rápida actuación mitigó los daños, al menos parcialmente.
Aunque saber qué pasó no restauró los principales oleoductos de la empresa, sí evitó que los daños fueran mucho mayores.
La atribución
Al parecer, la empresa fue atacada por el ransomware DarkSide, que puede ejecutarse en Windows y Linux. Los productos de Kaspersky detectan el malware como Trojan-Ransom.Win32.Darkside y Trojan-Ransom.Linux.Darkside. DarkSide utiliza algoritmos de cifrado potentes, por lo que la restauración de datos sin la clave correcta es imposible.
A simple vista, el grupo DarkSide parece un proveedor de servicios online, con equipo de soporte, departamento de relaciones públicas y centro de prensa. Una nota en el sitio web de los delincuentes dice que su motivación para el ataque fue financiera, no política.
El grupo DarkSide utiliza un modelo de ransomware como servicio, proporcionando software e infraestructura relacionada a los socios que llevan a cabo el ataque. Uno de estos socios fue responsable de dirigir el ataque contra Colonial Pipeline. De acuerdo con DarkSide, el grupo no tenía la intención de causar consecuencias tan serias y, en adelante, pondrán más atención a las víctimas que sus “intermediarios” elijan. Sin embargo, es difícil tomarse muy en serio esa declaración debido a la larga lista de trucos de relaciones públicas que utilizan.
Cómo mantenerse a salvo
Para proteger tu empresa del ransomware, nuestros expertos recomiendan:
- Prohibir conexiones innecesarias a servicios de equipo de escritorio remotos (como RDP o Protocolo de Escritorio Remoto) desde redes públicas, y siempre utilizar contraseñas seguras para estos servicios.
- Instalar todos los parches disponibles para soluciones VPN que utilices para que los trabajadores remotos se conecten a la red corporativa.
- Actualizar el software de todos los dispositivos conectados a fin de evitar la explotación de las vulnerabilidades.
- Centrar la estrategia de defensa en detectar el movimiento lateral y la exfiltración de datos, especialmente en todo el tráfico de salida.
- Realizar copias de seguridad de los datos con frecuencia y asegurar que, en caso de emergencia, tengas acceso inmediato a estas copias.
- Utilizar los datos de la inteligencia de amenazas para mantenerte actualizado sobre las tácticas, técnicas y procedimientos de ataque.
- Utilizar soluciones de seguridad como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response que ayudan a detener los ataques desde el principio.
- Formar a tus empleados para que presten atención a la seguridad del entorno corporativo.
- Utilizar una solución de confianza para la protección de endpoints que contrarreste los exploits y detecte comportamiento anómalo y que, además, pueda revertir los cambios maliciosos y restaure el sistema.
El ejemplo de Colonial Pipeline muestra la ventaja de dar prioridad al contacto con las autoridades legales. No hay ninguna garantía de que puedan ayudar, por supuesto, pero podrían disminuir los daños.