Ciberataque en oleoducto estadounidense está vinculado a una banda criminal

El intento de extorsión cibernética que obligó al cierre de un oleoducto vital en Estados Unidos fue llevado a cabo por una banda criminal conocida como DarkSide que cultiva una imagen de Robin Hood de robar a corporaciones y dar una parte a la caridad, una persona cercana a La investigación dijo el domingo.

Mientras tanto, el cierre se prolongó hasta su tercer día, y la administración Biden dijo que se está llevando a cabo un esfuerzo de "manos a la obra" para restaurar las operaciones y evitar interrupciones en el suministro de combustible.

Los expertos dijeron que es poco probable que los precios de la gasolina se vean afectados si el gasoducto vuelve a la normalidad en los próximos días, pero que el incidente, el peor ciberataque hasta la fecha a la infraestructura crítica de EE. UU., Debería servir como una llamada de atención a las empresas sobre las vulnerabilidades. se enfrentan.

El oleoducto, operado por Colonial Pipeline, con sede en Georgia, transporta gasolina y otros combustibles desde Texas hasta el noreste. Entrega aproximadamente el 45% del combustible consumido en la costa este, según la compañía.

Fue golpeado por lo que Colonial llamó un ataque de ransomware, en el que los piratas informáticos generalmente bloquean los sistemas informáticos encriptando los datos y luego exigen un gran rescate para liberarlos. La empresa no ha dicho qué se exigió ni quién hizo la demanda.

Sin embargo, la persona cercana a la investigación, que habló bajo condición de anonimato, identificó al culpable como DarkSide. Es una de las bandas de ransomware que han “profesionalizado” una industria criminal que les ha costado a las naciones occidentales decenas de miles de millones de dólares en pérdidas en los últimos tres años.

DarkSide afirma que no ataca objetivos médicos, educativos o gubernamentales, solo grandes corporaciones, y que dona una parte de su dinero a organizaciones benéficas. Ha estado activo desde agosto y, típico de las bandas de ransomware más potentes, se sabe que evita atacar organizaciones en países del antiguo bloque soviético.

Colonial no dijo si había pagado o estaba negociando un rescate, y DarkSide no anunció el ataque en su sitio web oscuro ni respondió a las preguntas de un reportero de Associated Press. La falta de reconocimiento generalmente indica que la víctima está negociando o ha pagado.

La secretaria de Comercio, Gina Raimondo, dijo el domingo que los ataques de ransomware son "de lo que ahora deben preocuparse las empresas" y que trabajará "muy enérgicamente" con el Departamento de Seguridad Nacional para abordar el problema, calificándolo de máxima prioridad para la administración.

"Desafortunadamente, este tipo de ataques se están volviendo más frecuentes", dijo en "Face the Nation" de CBS. "Tenemos que trabajar en asociación con las empresas para proteger las redes y defendernos de estos ataques".

Ella dijo que el presidente Joe Biden fue informado sobre el ataque.

"Es un esfuerzo de manos a la obra en este momento", dijo Raimondo. "Y estamos trabajando en estrecha colaboración con la empresa, los funcionarios estatales y locales para asegurarnos de que vuelvan a las operaciones normales lo más rápido posible y no haya interrupciones en el suministro".

La persona cercana a la investigación de Colonial dijo que los atacantes también robaron datos de la empresa, presuntamente con fines de extorsión. A veces, los datos robados son más valiosos para los delincuentes de ransomware que el apalancamiento que obtienen al paralizar una red, porque algunas víctimas son reacias a ver información confidencial suya descargada en línea.

Los expertos en seguridad dijeron que el ataque debería ser una advertencia para los operadores de infraestructura crítica, incluidos los servicios públicos de agua y electricidad y las empresas de energía y transporte, de que no invertir en actualizar su seguridad los pone en riesgo de catástrofe.

Ed Amoroso, director ejecutivo de TAG Cyber, dijo que Colonial tuvo suerte de que su atacante estuviera al menos aparentemente motivado solo por las ganancias, no por la geopolítica. Los piratas informáticos respaldados por el estado empeñados en una destrucción más seria utilizan los mismos métodos de intrusión que las bandas de ransomware.

"Para las empresas vulnerables al ransomware, es una mala señal porque probablemente sean más vulnerables a ataques más graves", dijo. Los ciberguerreros rusos, por ejemplo, paralizaron la red eléctrica en Ucrania durante los inviernos de 2015 y 2016.

Los intentos de ciberextorsión en los EE. UU. Se han convertido en un fenómeno de muerte por miles en el último año, con ataques a hospitales que obligaron a retrasar el tratamiento del cáncer, interrumpieron la escolarización y paralizaron a la policía y los gobiernos de las ciudades.

Tulsa, Oklahoma, se convirtió esta semana en el 32º gobierno estatal o local en los EE. UU. En ser objeto de un ataque de ransomware, dijo Brett Callow, analista de amenazas de la firma de ciberseguridad Emsisoft.

Los rescates promedio pagados en los EE. UU. Aumentaron casi tres veces a más de $ 310,000 el año pasado. El tiempo de inactividad promedio para las víctimas de ataques de ransomware es de 21 días, según la firma Coveware, que ayuda a las víctimas a responder.

David Kennedy, fundador y consultor principal de seguridad de TrustedSec, dijo que una vez que se descubre un ataque de ransomware, las empresas tienen pocos recursos más que reconstruir completamente su infraestructura o pagar el rescate.

"El ransomware está absolutamente fuera de control y es una de las mayores amenazas que enfrentamos como nación", dijo Kennedy. "El problema al que nos enfrentamos es que la mayoría de las empresas no están muy preparadas para hacer frente a estas amenazas".

Colonial transporta gasolina, diésel, combustible para aviones y aceite para calefacción desde las refinerías de la Costa del Golfo a través de oleoductos que van de Texas a Nueva Jersey. Su sistema de tuberías se extiende por más de 5.500 millas y transporta más de 100 millones de galones al día.

Debnil Chowdhury, de la firma de investigación IHSMarkit, dijo que si la interrupción se extiende a una o tres semanas, los precios de la gasolina podrían comenzar a subir.

“No me sorprendería, si esto termina siendo una interrupción de esa magnitud, si vemos un aumento de 15 a 20 centavos en los precios de la gasolina durante la próxima semana o dos”, dijo.

El Departamento de Justicia tiene un nuevo grupo de trabajo dedicado a contrarrestar los ataques de ransomware.

Si bien Estados Unidos no ha sufrido ningún ciberataque grave en su infraestructura crítica, los funcionarios dicen que se sabe que los piratas informáticos rusos en particular se han infiltrado en algunos sectores cruciales, posicionándose para causar daños si estallara un conflicto armado.

Los piratas informáticos iraníes también han sido agresivos al tratar de obtener acceso a servicios públicos, fábricas e instalaciones de petróleo y gas. En un caso en 2013, irrumpieron en el sistema de control de una presa de EE. UU.