Disección del incidente del oleoducto colonial

 análisis del ciberataque Colonial Pipeline

Los expertos en TI del Colonial Pipeline pirateado hicieron un buen trabajo al mitigar el ciberataque del 7 de mayo y lo detuvieron con éxito cuando se descubrieron cerrando la red. Pero el ataque fue casi invisible en las etapas iniciales de una semana, según un informe NTT Security realizado por ejecutivos el martes.

"Es muy difícil decir qué podrían haber hecho mejor porque no estaremos parte de la investigación ", dijo Bruce Snell, vicepresidente de estrategia de seguridad y transformación de la división de seguridad de NTT Security, a los periodistas invitados a una sesión informativa sobre el incidente".

Colonial Pipeline presuntamente pagó el DarkSide Ransomware-as-a-service (RaaS) grupo delictivo de cerca de $ 5 millones en criptomonedas para descifrar sistemas bloqueados a principios de este mes. Pero los expertos cibernéticos advierten que aún puede haber más daños potenciales sin ser detectados en las profundidades de la red de la compañía.

El mayo El ciberataque 7 afectó los sistemas de envío de combustible durante casi una semana. Obligó a Colonial Pipeline a cerrar temporalmente sus operaciones y congelar los sistemas informáticos para aislar la infección.

Ahora que está de vuelta en el negocio, pasarán días antes de que se reanude el servicio normal. La escasez de suministro de combustible hasta ahora ha provocado compras de pánico en algunas ciudades y peleas a puñetazos entre los automovilistas que esperan en las líneas de las estaciones de servicio.

A los expertos en seguridad les preocupa que los afiliados de DarkSide también puedan haber incorporado tácticas de doble extorsión que saldrán a la superficie con más documentos robados y más redes. amenazas. Un esquema de doble extorsión también puede implicar más demandas para pagar un rescate adicional para evitar que se filtren archivos corporativos robados. Doble inmersión. Mantener su información como rehén, pero luego básicamente decirle que ahora pague para eliminar la información que ya han extraído ", dijo Snell.

Puntos destacados del ataque

Tres conclusiones clave del ataque afectaron a Khiro Mishra, director ejecutivo de NTT Security.

Hasta ahora, el ransomware y otros ataques cibernéticos en la infraestructura crítica o las tuberías del sector energético o la red eléctrica eran diferentes. Se presume que fueron motivados por actores del Estado-nación; la mayoría con alguna inspiración geopolítica detrás de ellos.

"Esta fue la primera vez que escuchamos que esto fue motivado financieramente por un grupo de personas que no tenían ninguna afiliación directa con ningún estado nacional", dijo.

Un segundo aspecto interesante fue la participación de DarkSide. Este grupo asumió la responsabilidad del hack. El grupo de piratas informáticos desarrolló una plataforma agrupando la tecnología y los procesos. Luego, pusieron su experiencia a disposición de otros para ejecutar aplicaciones similares o atacar a otras organizaciones.

"Esa democratización de la experiencia en ransomware es esencialmente bastante alarmante, y la intensidad y el volumen de ataque que podríamos presenciar pueden ser un poco más altos de lo que lo hemos visto en el pasado porque ahora, cualquier otro hacker también podría acceder a una plataforma pagando un pequeño porcentaje de la tarifa de rescate si tenían éxito ”, advirtió.

El tercer tema es el factor de seguridad pública. Para la mayoría de los ataques de ransomware, analizamos aspectos relacionados con la infraestructura crítica. Consideramos el diseño del modelo de seguridad más desde el punto de vista de la confidencialidad, la integridad y la disponibilidad del sistema informático.

"Este pirateo de gasoducto o infraestructura crítica tiene un aspecto muy importante de seguridad. Entonces, cuando miramos En los diseños futuros de modelos de seguridad, la seguridad va a tener prioridad en casos como ese ", predijo Mishra.

Crecimiento prolongado y sórdido

Los ataques de ransomware no son nada nuevo. Suceden todo el tiempo ahora y las consecuencias son típicas, observó Azeem Aleem, vicepresidente de consultoría y director para el Reino Unido e Irlanda en NTT Security. Por lo general, las personas cambian las contraseñas y controlan sus informes de crédito durante los próximos seis a nueve meses cuando se infiltra en una red que utilizan.

Aleem ha estado investigando ataques de ransomware durante los últimos 10 años. Encontró gran parte de sus orígenes dirigidos a los sistemas de apuestas en línea.

"Los rusos apuntaban a las empresas de apuestas en línea, y ya estaban utilizando el ransomware para dividir a la empresa en dos y también pedir un rescate, por lo que siempre ha estado ahí".

Ahora el ransomware está ganando más cobertura en los medios de comunicación porque las víctimas de alto perfil están en el centro de atención. La producción de ransomware se divide en dos fases. Uno involucra a los desarrolladores. El otro involucra a desarrolladores afiliados.

En este caso, un desarrollador ciberdelincuente produjo un ransomware llamado DarkSide y lo lanzó al mercado de afiliados. A veces es recogido por los afiliados, y luego son ellos los que lo difunden.

"Así que este modelo ha estado funcionando durante años, y por eso es tan difícil marcar la táctica o el tipo de inteligencia de regreso a cierto grupo. Muchas personas están involucradas en ese proceso ", dijo Aleem.

Cambio de Fallout

Esta vez, sin embargo, las consecuencias del ciberataque son diferentes. Snell sospecha que las repercusiones se extenderán a la confianza.

Desde una perspectiva de confianza, en el pasado ha habido infracciones a gran escala para otros menús industriales y fabricantes. El resultado fue una caída en los precios de las acciones debido a la falta de competencia de la junta o de los inversionistas, explicó Snell.

"Colonial realmente debería estar prestando atención y buscando otras piezas de ransomware escondidas en alguna parte", sugirió. . "Los investigadores ven una gran cantidad de amenazas persistentes avanzadas que entran".

Los ataques se infiltrarán pero luego permanecerán inactivos durante seis o 12 meses. Piensa que los investigadores han podido aislar este incidente. Pero el departamento de TI de Colonial necesita pasar mucho más tiempo mirando a su alrededor y viendo dónde más puede haber problemas.

"Si estuviera en el barco de Colonial en este momento, estaría revisando todo con un peine de dientes finos para hacer Estoy seguro de que todavía no hay algo escondido por ahí que venga y los muerda en un par de meses más ", dijo Snell.

Trazando los vectores de ataque

Las continuas incursiones en la transformación digital son un factor potencial que contribuye al éxito de los ciberataques, advirtieron los expertos en ciberseguridad.

"Estamos viendo mucha transformación digital, y esta es una de ese tipo de doble filo ", dijo Snell.

La transformación digital está obteniendo una mejora de los procesos con eficiencias más mejoradas y mejores informes en todos los ámbitos en el lado de la tecnología operativa (OT). Pero los equipos de seguridad también están viendo que muchas organizaciones se abren a los ataques, señaló Snell.

Gran parte del camino del ataque sin duda se centró en explotar las vulnerabilidades comunes conocidas con el software de red. Los ataques intentaron penetrar en el sistema a través del antiguo mecanismo y vulnerabilidades para escalar privilegios.

Luego intentaron hacer reconocimiento interno y movimiento bilateral. El proceso es una carrera para triunfar antes del tiempo de exposición. Ese es el intervalo desde que el pirata informático entra en el entorno y el tiempo que le toma a usted averiguarlo, explicó Snell.


Leave a Reply

Your email address will not be published. Required fields are marked *