Skip to main content
EE.UU.NEWSNOTICIAS

Ciberataque Colonial Pipeline, Transporte por tubería, Ransomware, EEUU

Publicado por DESPABILATE NEWS10 mayo, 2021No Comments
Ciberataque Transporte por tubería, Colonial Pipeline, Ransomware, EEUU

Ciberataque Transporte por tubería, Colonial Pipeline, Ransomware, EEUU

Lo que sabemos sobre el ataque de ransomware en una tubería crítica de EE. UU.

Ciberataque Colonial Pipeline: Un oleoducto crítico que va desde refinerías en la costa del Golfo de EE. UU. Hasta terminales tan al norte como Nueva York fue cerrado durante el fin de semana después de ser golpeado por un ataque masivo de ransomware.

La compañía anunció el lunes por la noche que su Línea 4 entre Greensboro, NC y Woodbine, Maryland, estaba operando bajo control manual, aunque sus líneas principales aún estaban cerradas.

En declaraciones el lunes en la Casa Blanca, el presidente Biden dijo que el gobierno federal está investigando el ataque. «Mi administración se toma esto muy en serio», dijo.

Ciberataque Colonial Pipeline ¿Qué sucedió?

Colonial Pipeline Co., que opera un oleoducto de 5.500 millas que entrega el 45% de la gasolina y el combustible para aviones suministrados a la costa este de Estados Unidos, dijo el viernes que había sido víctima de un ataque de ransomware.

En respuesta al ataque, la compañía rápidamente «desconectó ciertos sistemas para contener la amenaza», dijo en un comunicado . Colonial dijo que esas acciones «detuvieron temporalmente todas las operaciones del oleoducto y afectaron algunos de nuestros sistemas de TI, que estamos activamente en el proceso de restaurar».

La BBC informó que la red de Colonial se vio comprometida el jueves y casi 100 gigabytes de datos fueron tomados como rehenes. Según los informes, los piratas informáticos bloquearon los datos en algunas computadoras y servidores y amenazan con filtrarlos a Internet si no se paga el rescate no revelado.

En una conferencia de prensa en la Casa Blanca el lunes, la asesora de seguridad nacional Elizabeth Sherwood-Randall dijo que Colonial había cerrado el oleoducto como una «medida de precaución» para «garantizar que el ransomware no pueda transferirse de los sistemas comerciales a los que controlan y operan el oleoducto».

¿Quién es el responsable del ataque? Ciberataque Colonial Pipeline

La sospecha aterrizó rápidamente en un grupo relativamente nuevo pero oscuro de piratas informáticos y ciberdelincuentes veteranos que han desarrollado un software de ransomware conocido como DarkSide. El lunes, el FBI en una breve declaración dijo que «confirma que el ransomware Darkside es responsable del compromiso de las redes Colonial Pipeline».

En la sesión informativa de la Casa Blanca del lunes, Anne Neuberger, asesora adjunta de seguridad nacional para ciberseguridad y tecnología emergente, describió el ataque como «ransomware como una variante de servicio» en el que «los afiliados criminales realizan ataques y luego comparten las ganancias con los desarrolladores del ransomware».

Ella llamó a este tipo de ataque «nuevo y preocupante» y dijo que el FBI había estado investigando DarkSide desde octubre.

El sitio web Bleeping Computer , que cubre tecnología informática, publicó un artículo en agosto presentando DarkSide y diciendo que el grupo había comenzado los ataques ese mes.

El sitio web publicó un «comunicado de prensa» que pretendía ser de DarkSide que decía que el grupo «solo atacará a las empresas que puedan pagar la cantidad solicitada, no queremos acabar con su negocio».

«Basándonos en nuestros principios«, continuó, «no atacaremos» hospitales, escuelas y universidades, organizaciones sin fines de lucro y el sector gubernamental.

DarkSide, en el supuesto comunicado de prensa, amenazó con publicar los datos que bloquea y enviar una notificación de la filtración a «los medios y sus socios y clientes» y con «NUNCA proporcionarle descifradores» a menos que se pague el rescate.

Ciberataque Transporte por tubería, Colonial Pipeline, Ransomware, EEUU

Ciberataque Transporte por tubería, Colonial Pipeline, Ransomware, EEUU

En ese momento, las demandas de rescate de DarkSide oscilaban entre $ 200,000 y $ 2 millones.

Reuters informó que, como muchos otros grupos similares, DarkSide «parece salvar a las empresas de habla rusa, kazaja y ucraniana, lo que sugiere un vínculo con las ex repúblicas soviéticas».

Biden sugirió que los piratas informáticos que atacaron Colonial Pipeline están en Rusia, aunque «hasta ahora no hay evidencia de nuestra gente de inteligencia de que Rusia esté involucrada».

Biden dijo: «Hay evidencia de que el ransomware del actor está en Rusia. Tienen cierta responsabilidad para lidiar con esto». El presidente dijo que plantearía el asunto al presidente ruso, Vladimir Putin, en una reunión propuesta que ahora se está debatiendo.

El mes pasado, la administración Biden impuso nuevas sanciones a Rusia, dirigidas específicamente a las empresas de tecnología que apoyan los esfuerzos de los servicios de inteligencia del Kremlin para atacar a Estados Unidos con ciberataques. Las sanciones se produjeron después de que los piratas informáticos, que se cree que están dirigidos por el servicio de inteligencia extranjera SVR de Rusia, utilizaron una actualización de software de rutina para introducir un código malicioso en el software producido por SolarWinds y luego lo utilizaron como vehículo para un ciberataque masivo.

Rusia ha negado cualquier participación en el ataque SolarWinds.

¿Cuál será el impacto del Ciberataque Colonial Pipeline?

Los precios del gas son sensibles a las interrupciones repentinas y los resultados del ciberataque podrían sentirse en la gasolinera .

  Bitcoin, SU PRECIO luego de la CAÍDA ¿El Salvador es el CULPABLE?

Patrick De Haan, jefe de análisis de petróleo de GasBuddy, tuiteó : «Los desafíos provocados por el [cierre] del Oleoducto Colonial probablemente no aparecerán durante varios días o más».

El precio promedio de la gasolina en Estados Unidos el lunes es de $ 2.967 por galón, una fracción de centavo más que el domingo, según AAA .

También podría ocurrir una escasez puntual de diesel y combustible para aviones, según Natural Gas Intelligence , un proveedor de datos y noticias sobre los mercados energéticos de América del Norte.

En la Casa Blanca, Sherwood-Randall dijo que «ahora mismo no hay escasez de suministros».

«Nos estamos preparando para múltiples contingencias posibles porque ese es nuestro trabajo, especialmente en el equipo de seguridad nacional», dijo.

¿Cuánto tiempo estará cerrado?

Aún no lo sabemos. Colonial Pipeline dijo que su regreso al servicio llevará tiempo.

«Si bien esta situación sigue siendo fluida y continúa evolucionando, el equipo de operaciones de Colonial está ejecutando un plan que involucra un proceso incremental que facilitará el regreso al servicio en un enfoque por fases», dijo.

La asesora de seguridad nacional Sherwood-Randall dijo: «Hasta ahora, Colonial nos ha dicho que el oleoducto no ha sufrido daños y que puede volver a estar en línea con relativa rapidez», pero dijo que la compañía enfatizó la necesidad de seguridad «dado que nunca antes lo había hecho. derribado todo el oleoducto».

El ciberataque obliga a cerrar un importante oleoducto de EE. UU.

El ciberataque obliga a cerrar un importante oleoducto de EE. UU.

¿Qué se está haciendo para mitigar la interrupción?

Hay oleoductos más pequeños que sirven a algunas áreas del país, pero ninguno tan grande como el que administra Colonial, por lo que un cierre a largo plazo podría ser significativo.

La administración de Biden buscó durante el fin de semana «mitigar las posibles interrupciones del suministro», dijo la secretaria de prensa de la Casa Blanca, Jen Psaki, en un tuit. El Departamento de Transporte emitió una flexibilización temporal de algunas restricciones a los conductores que transportan combustible «para permitir flexibilidad a los camioneros en 17 estados», dijo.

Mientras tanto, Reuters, citando datos de la firma de análisis Refinitiv Eikon, informó que los comerciantes han reservado provisionalmente al menos seis camiones cisterna para enviar gasolina desde Europa a Estados Unidos.

¿Deberíamos haber esperado esto?

Los ataques de ransomware se han vuelto cada vez más comunes en los últimos años, y varios municipios, como la ciudad de Atlanta , tienen sus datos o sistemas informáticos retenidos por piratas informáticos.

En un testimonio la semana pasada ante el Subcomité de Ciberseguridad, Protección de Infraestructura e Innovación de la Cámara de Representantes, Christopher Krebs, el ex alto funcionario cibernético del Departamento de Seguridad Nacional, dijo a los legisladores que la emergencia de ransomware en Estados Unidos era un «incendio de basurero digital».

«Incluso si el software y los servicios fueran más seguros, el atractivo de un dinero rápido y sin repercusiones reales significa que las perspectivas de futuro para los actores de ransomware son bastante buenas», dijo.

A fines del año pasado, Krebs intentó corregir la desinformación sobre el fraude electoral y posteriormente fue despedido por el entonces presidente Donald Trump.

En 2018, la Oficina de Responsabilidad del Gobierno emitió una auditoría que concluyó que el Departamento de Seguridad Nacional no estaba haciendo lo suficiente para proteger los oleoductos y gasoductos. Dijo que tales oleoductos «son vulnerables a accidentes, errores operativos y ataques o intrusiones físicas y cibernéticas maliciosas».

El FBI identifica al grupo detrás del pirateo de oleoductos, Ciberataque Colonial Pipeline

El ataque de DarkSide, un grupo criminal relativamente nuevo que se cree que tiene raíces en Europa del Este, expuso la notable vulnerabilidad de la infraestructura estadounidense clave.

El presidente Biden dijo el lunes que Estados Unidos «interrumpiría y enjuiciaría» a una banda criminal de piratas informáticos llamada DarkSide, a la que el FBI culpó formalmente de un enorme ataque de ransomware que ha interrumpido el flujo de casi la mitad de los suministros de gasolina y combustible para aviones al país. Costa este.

El FBI, claramente preocupado de que el esfuerzo de ransomware pudiera extenderse, emitió una alerta de emergencia a las empresas eléctricas, proveedores de gas y otros operadores de gasoductos para que estén atentos a códigos como el que bloqueó Colonial Pipelines, una empresa privada que controla el gasoducto principal. llevando gasolina, diesel y combustible para aviones desde la costa del Golfo de Texas hasta el puerto de Nueva York.

La tubería permaneció fuera de línea por cuarto día el lunes como una medida preventiva para evitar que el malware que infectaba las redes informáticas de la empresa se propagara a los sistemas de control que ejecutan la tubería. Hasta ahora, los efectos sobre la gasolina y otros suministros de energía parecen mínimos, y Colonial dijo que esperaba que el gasoducto volviera a funcionar para fines de esta semana.

  Peter Genyn, del equipo de Bélgica, ganó el oro en la final T51

El ataque provocó reuniones de emergencia en la Casa Blanca durante todo el fin de semana, mientras los funcionarios intentaban comprender si el episodio era puramente un acto criminal, destinado a bloquear las redes informáticas de Colonial a menos que pagara un gran rescate, o si era obra de Rusia u otro. afirmar que estaba utilizando al grupo delictivo de forma encubierta.

Hasta ahora, dijeron los funcionarios de inteligencia, todos los indicios apuntan a que fue simplemente un acto de extorsión por parte del grupo, que comenzó a desplegar dicho ransomware en agosto pasado y se cree que opera desde Europa del Este, posiblemente Rusia. Hubo alguna evidencia, incluso en las propias declaraciones del grupo el lunes, que sugirió que el grupo tenía la intención simplemente de extorsionar a la compañía, y se sorprendió de que terminara cortando los principales suministros de gasolina y combustible para aviones para la costa este.

El ataque expuso la notable vulnerabilidad de un conducto clave para la energía en los Estados Unidos a medida que los piratas informáticos se vuelven más descarados al asumir infraestructura crítica, como redes eléctricas, tuberías, hospitales e instalaciones de tratamiento de agua. Los gobiernos de las ciudades de Atlanta y Nueva Orleans y, en las últimas semanas, el Departamento de Policía de Washington, DC, también se han visto afectados.

La explosión de casos de ransomware se ha visto impulsada por el aumento del ciberseguro, que ha convertido a muchas empresas y gobiernos en objetivos maduros para las bandas criminales que creen que sus objetivos pagarán, y de las criptomonedas, que hacen que los pagos por extorsión sean más difíciles de rastrear.

En este caso, el ransomware no estaba dirigido a los sistemas de control del oleoducto, dijeron funcionarios federales e investigadores privados, sino a las operaciones administrativas de Colonial Pipeline. No obstante, el temor a un daño mayor obligó a la empresa a cerrar el sistema, una medida que hizo evidente las enormes vulnerabilidades en la red parcheada que mantiene en funcionamiento las gasolineras, las paradas de camiones y los aeropuertos.

Una investigación preliminar mostró malas prácticas de seguridad en Colonial Pipeline, según funcionarios federales y privados familiarizados con la investigación. Los fallos, dijeron, probablemente hicieron que el acto de irrumpir y bloquear los sistemas de la empresa fuera bastante fácil.

Colonial Pipeline no ha respondido preguntas sobre qué tipo de inversión había hecho para proteger sus redes y se negó a decir si estaba pagando el rescate. Y la empresa parecía reacia a permitir que los funcionarios federales reforzaran sus defensas.

«En este momento, no han pedido apoyo cibernético al gobierno federal», dijo a los periodistas Anne Neuberger, asesora adjunta de seguridad nacional para tecnología cibernética y emergente, en una sesión informativa en la Casa Blanca. Se negó a decir si el gobierno federal recomendaría pagar el rescate, y señaló que «las empresas a menudo se encuentran en una posición difícil si sus datos están encriptados y no tienen copias de seguridad y no pueden recuperar los datos».

Si bien la Sra. Neuberger no lo dijo, eso parece ser esencialmente lo que le sucedió a Colonial.

Biden, quien se espera que anuncie una orden ejecutiva en los próximos días para fortalecer las ciberdefensas de Estados Unidos, dijo que no había evidencia de que el gobierno ruso estuviera detrás del ataque. Pero dijo que planeaba reunirse pronto con el presidente Vladimir V. Putin de Rusia (se espera que los dos hombres celebren su primera cumbre el próximo mes) y sugirió que Moscú tenía cierta responsabilidad porque se cree que DarkSide tiene raíces en Rusia y el país proporciona un refugio para los ciberdelincuentes.

“Hay gobiernos que hacen la vista gorda o alientan afirmativamente a estos grupos, y Rusia es uno de esos países”, dijo Christopher Painter, ex ciberdiplomático superior de Estados Unidos. «Presionar sobre los refugios seguros para estos criminales tiene que ser parte de cualquier solución».

Las tuberías de Colonial alimentan grandes tanques de almacenamiento a lo largo de la costa este y los suministros parecen abundantes, en parte debido a la reducción del tráfico durante la pandemia. Colonial emitió un comunicado el lunes diciendo que su objetivo era reanudar «sustancialmente» el servicio para el final de la semana , pero la compañía advirtió que el proceso tomaría tiempo.

Elizabeth Sherwood-Randall, asesora de seguridad nacional de Biden y ex subsecretaria de energía en la administración Obama, dijo que el Departamento de Energía estaba liderando la respuesta federal y había “convocado a los socios de servicios públicos del sector de petróleo y gas natural y electricidad para compartir detalles sobre el ataque de ransomware y discutir las medidas recomendadas para mitigar más incidentes en la industria «.

Señaló que el gobierno federal había relajado las reglas para los conductores que transportan gasolina y combustible para aviones en camión, en un esfuerzo por aliviar los efectos.

“En este momento, no hay escasez de suministro”, dijo. «Nos estamos preparando para múltiples contingencias posibles». Pero dijo que el trabajo de volver a poner el oleoducto en línea pertenecía a Colonial.

  Brasil vs. Argentina SUSPENDIDO eliminatoria Catar 2022

Para muchos funcionarios que han luchado durante años para proteger la infraestructura crítica de los Estados Unidos de los ciberataques, la única sorpresa sobre los eventos de los últimos días es que tardaron tanto en ocurrir. Cuando Leon E. Panetta fue secretario de Defensa durante la presidencia de Barack Obama, Panetta advirtió sobre un «Pearl Harbor cibernético» que podría cortar la energía y el combustible, una frase que se usa a menudo en un esfuerzo por lograr que el Congreso o las corporaciones gasten más en ciberdefensa.

Durante la administración Trump, el Departamento de Seguridad Nacional emitió advertencias sobre el malware ruso en la red eléctrica estadounidense, y Estados Unidos montó un esfuerzo no tan secreto para colocar malware en la red rusa como advertencia.

Pero en las muchas simulaciones realizadas por agencias gubernamentales y empresas de servicios eléctricos de cómo sería un ataque contra el sector energético estadounidense, el esfuerzo generalmente se concibió como una especie de ataque terrorista, una combinación de ataques cibernéticos y físicos, o un bombardeo de Irán. , China o Rusia en los momentos iniciales de un conflicto militar mayor.

Pero este caso fue diferente: un actor criminal que, al intentar extorsionar a una empresa, terminó derribando el sistema. Un alto funcionario de la administración de Biden lo llamó «la máxima amenaza combinada» porque era un acto criminal, del tipo al que Estados Unidos normalmente respondería con arrestos o acusaciones, que resultó en una gran amenaza para la cadena de suministro de energía del país.

Al amenazar con «interrumpir» el grupo de ransomware, Biden puede haber estado señalando que la administración se estaba moviendo para tomar medidas contra estos grupos más allá de simplemente acusarlos. Eso es lo que hizo el Comando Cibernético de los Estados Unidos el año pasado, antes de las elecciones presidenciales de noviembre, cuando sus piratas informáticos militares irrumpieron en los sistemas de otro grupo de ransomware, llamado Trickbot, y manipularon sus servidores informáticos de comando y control para que no pudiera hacerlo. encerrar nuevas víctimas con ransomware. El temor en ese momento era que el grupo de ransomware pudiera vender sus habilidades a gobiernos, incluida Rusia, que buscaban congelar las tabulaciones electorales.

El lunes, DarkSide argumentó que no estaba operando en nombre de un estado-nación, quizás en un esfuerzo por distanciarse de Rusia.

“Somos apolíticos, no participamos de la geopolítica, no necesitamos vincularnos con un gobierno definido y buscar nuestros motivos”, dijo en un comunicado publicado en su sitio web. “Nuestro objetivo es ganar dinero y no crear problemas para la sociedad”.

El grupo pareció un poco sorprendido de que sus acciones dieran como resultado el cierre de una tubería importante y sugirió que tal vez evitaría tales objetivos en el futuro.

«A partir de hoy, introducimos la moderación y verificamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro», dijo el grupo, aunque no estaba claro cómo definió «moderación».

DarkSide es relativamente nuevo en la escena del ransomware, lo que Neuberger llamó «un actor criminal» que alquila sus servicios al mejor postor y luego comparte «las ganancias con los desarrolladores de ransomware». Es esencialmente un modelo de negocio en el que algunas de las ganancias obtenidas ilegalmente se invierten en la investigación y el desarrollo de formas más eficaces de ransomware.

El grupo a menudo se presenta a sí mismo como una especie de Robin Hood digital, que roba a las empresas y se da a otros. DarkSide dice que evita piratear hospitales, funerarias y organizaciones sin fines de lucro, pero apunta a las grandes corporaciones, a veces donando sus ganancias a organizaciones benéficas. La mayoría de las organizaciones benéficas han rechazado sus ofertas de obsequios.

Una pista sobre los orígenes de DarkSide radica en su código. Los investigadores privados señalan que el ransomware de DarkSide pide a las computadoras de las víctimas su configuración de idioma predeterminada, y si es ruso, el grupo se traslada a otras víctimas. También parece evitar víctimas que hablan ucraniano, georgiano y bielorruso.

Su código tiene similitudes sorprendentes con el utilizado por REvil, un grupo de ransomware que fue uno de los primeros en ofrecer «ransomware como servicio», esencialmente piratas informáticos a sueldo, para mantener los sistemas como rehenes con ransomware.

“Parece que se trataba de una rama que quería emprender su propio negocio”, dijo Jon DiMaggio, un ex analista de la comunidad de inteligencia que ahora es el estratega jefe de seguridad de Analyst1. «Para tener acceso al código de REvil, tendrías que tenerlo o robarlo porque no está disponible públicamente».

DarkSide exige un rescate menor que las sumas de ocho cifras por las que se conoce a REvil, entre 200.000 y 2 millones de dólares. Pone una clave única en cada nota de rescate, dijo DiMaggio, lo que sugiere que DarkSide adapta los ataques a cada víctima.

«Son muy selectivos en comparación con la mayoría de los grupos de ransomware», dijo.

Comentarios desde tu cuenta de Facebook