17 estados afectados declararon el estado de emergencia luego de que Colonial Pipeline, la empresa de ductos más grande del país, se viera obligada a detener sus sistemas para tratar de controlar el ataque.
El pasado 7 de mayo un ataque del ransomware DarkSide impactó a Colonial Pipeline, la compañía de oleoducto más importante de Estados Unidos, provocando el corte del suministro de nafta, diesel y otros productos refinados para un tramo de aproximadamente 8850 kilómetros que va desde Texas hasta Nueva York. La empresa confirmó el ciberataque al día siguiente y dijo que para contener la amenaza tendría que desconectar algunas computadoras.
De acuerdo con confirmó el FBI, el responsable de este ataque es el ransomware DarkSide. Por otro lado, la compañía anunció este lunes que sigue trabajando para restaurar sus sistemas de forma rápida pero también segura, aunque aclara que es un proceso que lleva tiempo. Según la BBC, los atacantes robaron más de 100 GB de información de la empresa.
Las consecuencias de este ataque a una infraestructura crítica tan importante como el Colonial Pipeline llevaron a la Administración Federal de Seguridad de Autotransportistas (FMCSA) a declarar una emergencia regional en Alabama, Arkansas, Washington DC, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, Nueva Jersey, Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas y Virginia.
Cabe señalar que el suministro de productos refinados de petróleo desde Colonial Pipeline a refinerías locales y otros mercados representa el 45% del combustible consumido en la costa este de Estados Unidos y más de 50 millones de habitantes.
Aunque no se han especificado detalles sobre cómo lograron comprometer los sistemas Colonial Pipeline, vale la pena mencionar que muchos grupos de Secuestro de datos han aprovechado, entre otras rutas de acceso iniciales, conexiones remotas como RDP para acceder a los sistemas de las víctimas. Según una conferencia pronunciada en febrero de 2020 (antes del inicio de la pandemia) en la conferencia de RSA, el agente del FBI Joel DeCapua, más del 80% de Secuestro de datos Se lograron éxitos, logrando comprometer la red a través de ataques de fuerza bruta a las credenciales RDP. Con el diario del lunes sabemos qué pasó con la raíz de la pandemia y el aumento del trabajo a distancia en el mundo, con muchas empresas que se han visto obligadas por la situación a utilizar herramientas que permitan a sus empleados conectarse de forma remota a los sistemas de la empresa. Este fenómeno también fue aprovechado por los atacantes, quienes si bien ya abusaron de conexiones remotas como RDP antes de este fenómeno, los datos de ESET muestran que durante 2020 los ataques RDP crecieron un 768% entre el primer y el último trimestre de 2020.
DarkSide: el grupo detrás de este ataque
Visto por primera vez en Agosto 2020, Lado oscuro es un rpornsomware que opera bajo el modelo de Secuestro de datos-enfrentarse con-sbrezo (RaaS, por sus siglas en inglés) actuación ataques dirigidos Y Qué por lo general solicitar grandes cantidades para El pago de La rescate. Bajo el modelo de RaaS básicamente participar quien desarrolla la amenaza y La afiliados, quién es quién yo se Tratar con distribuir el Secuestro de datos. Entre estocomo dos partes las ganancias se dividen que obtienen para el pago del rescate. Curiosamente, yeste lunes la banda detras este ransomware emitió un comunicado apuntándolo porque no quieren generar Consecuencias Social, de ahora en adelante supervisará los objetivos a los que se dirigen los afiliados para evitar en el futuro lo sé ejecutar ataques Qué terminan afectando el sociedad.
Este grupo es el mismo que en octubre de 2020 anunció que Donaría parte del dinero obtenido de los canjes. para una organización sin fines de lucro que colabora con niños en situación de pobreza extrema. Sin embargo, como se explicó BleepingComputadora después de la declaración pública de la donación la organización se vio obligada a rechazar el dinero por fueron generados ilegalmente.
Lo mismo que otros grupos de ransomware que tuvo actividades importantes la última vez, Lado oscuro roba información de los sistemas comprometidos antes de cifrar la información y acerca de si no quieres negociar el pago del rescate extorsión sus víctimas, filtrando información en uno sitio web creado específicamente para este propósito.
Una bandera roja para la infraestructura crítica
megravedad y alcance del ataque nos recuerda el ataque que sufrió en febrero otra infraestructura crítica en los Estados Unidos: uno planta depuradora de agua en Oldsmar, Florida. En ese momento, los atacantes aparentemente lograron acceder a los sistemas a través de TeamViewer, software ampliamente utilizado para proporcionar acceso y soporte remotos, e intentó envenenar el suministro de agua de la ciudad manipulando los niveles químicos de hidróxido de sodio.
Además, cabe mencionar que este no es el primer ataque para companiasl sector energético en el mundo. En 2019 La La petrolera mexicana Pemex sufrió un ataque en las manos del ransomware Dopplepaymer, Tiempo Qué acerca de La 2020 en Brasil otro empresas de energía como ÉlCtrucos y Coppel sufriónorte También un ataque de ransomware; este último también en manos de Lado oscuro.