
Los expertos en TI de Colonial Pipeline pirateado hicieron un gran trabajo al mitigar el ataque cibernético del 7 de mayo y lo detuvieron con éxito al cerrar la red cuando se descubrió.Pero en su fase inicial de una semana de duración, el ataque fue prácticamente invisible, según el informe. Seguridad NTT Los ejecutivos fueron el martes.
«Es difícil decir que podrían haberlo hecho mejor porque no estaríamos involucrados en la investigación», dijo Bruce Snell, vicepresidente de estrategia de seguridad y transformación de la división de seguridad de NTT Security, a los periodistas invitados a una sesión informativa sobre el evento. »
Según se informa, el oleoducto colonial pagó lado oscuro Un grupo criminal de ransomware como servicio (RaaS) pagó cerca de $ 5 millones en criptomonedas a principios de este mes para descifrar los sistemas bloqueados. Pero los expertos cibernéticos han advertido que más daño potencial puede permanecer sin ser detectado en las profundidades de las redes corporativas.
El ciberataque del 7 de mayo afectó el sistema de suministro de combustible durante casi una semana. Obligó a Colonial Pipeline a cerrar temporalmente sus operaciones y congelar los sistemas de TI para aislar la infección.
Si bien la tubería ahora está nuevamente en servicio, pasarán unos días antes de que se restablezca el servicio normal. Hasta ahora, la escasez de combustible ha provocado compras de pánico en algunas ciudades y peleas entre los automovilistas que esperan en la fila en las estaciones de servicio.
A los expertos en seguridad les preocupa que los afiliados de DarkSide también puedan tener tácticas de extorsión dual integradas que surgirán con más archivos robados y más amenazas cibernéticas. Un esquema de doble extorsión también puede implicar nuevas demandas de pagos de rescate adicionales para evitar la divulgación de documentos de la empresa robados.
«En el último año más o menos, comenzamos a ver una doble extorsión, que es un doble golpe. Confiscar su información y luego básicamente decirle que pague ahora para eliminar la información que ya extrajeron», dijo Snell.
Puntos destacados del ataque
Khiro Mishra, CEO de NTT Security, quedó impactado por tres puntos clave del ataque.
Hasta ahora, el ransomware y otros ataques cibernéticos dirigidos a infraestructura crítica o tuberías o redes del sector energético son diferentes. Se cree que están motivados por actores del estado-nación; la mayoría tiene alguna inspiración geopolítica detrás de ellos.
“Esta es la primera vez que escuchamos que está siendo impulsado económicamente por un grupo de personas que no tienen vínculos directos con ningún estado-nación”, dijo.
El segundo aspecto interesante es la participación de DarkSide. Este grupo es el responsable del hackeo. Los grupos de piratería han desarrollado una plataforma al agrupar tecnología y procesos. Luego ofrecen su experiencia a otros para ejecutar aplicaciones similares o atacar a otras organizaciones.
«La democratización de la experiencia en ransomware es de naturaleza muy preocupante, y la intensidad y el volumen de los ataques que podemos presenciar pueden ser un poco más altos que los que hemos visto en el pasado, porque ahora, cualquier otro pirata informático también puede pagar un rescate si tienen éxito. una fracción del costo «, advirtió.
El tercer tema es el factor de seguridad pública. Para la mayoría de los ataques de ransomware, nos enfocamos en cosas relacionadas con la infraestructura crítica. Miramos el diseño de modelos de seguridad más desde la perspectiva de la confidencialidad, integridad y disponibilidad de los sistemas informáticos.
«La piratería de este gasoducto o infraestructura crítica tiene una seguridad muy importante. Entonces, cuando miramos el diseño futuro de los modelos de seguridad, en este caso, la seguridad será el precedente», predijo Mishra.
crecimiento largo y sucio
Los ataques de ransomware no son nada nuevo. Están sucediendo todo el tiempo ahora, y las consecuencias son típicas, dijo Azeem Aleem, vicepresidente de consultoría de NTT Security y director del Reino Unido e Irlanda. Por lo general, las personas cambian sus contraseñas y controlan sus informes crediticios durante los próximos seis a nueve meses cuando se infiltran las redes que utilizan.
Aleem ha estado investigando ataques de ransomware durante los últimos 10 años. Descubrió que la mayoría de sus orígenes eran para sistemas de apuestas en línea.
“Los rusos están apuntando a las empresas de juegos en línea, y ya están usando ransomware para dividir la empresa en dos y exigir un rescate, por lo que ha estado allí”, dijo.
Ahora, el ransomware está recibiendo más cobertura de prensa a medida que las víctimas de alto perfil pasan a ser el centro de atención. La producción de ransomware se divide en dos fases. Uno involucra a los desarrolladores. Otro involucra a los desarrolladores afiliados.
En este caso, un desarrollador de delitos cibernéticos creó un ransomware llamado DarkSide y lo lanzó a un mercado afiliado. A veces, los afiliados lo recogen y luego son ellos los que lo difunden.
“Así que este patrón ha estado ocurriendo durante mucho tiempo y es por eso que es muy difícil devolver tácticas o inteligencia a un grupo. Muchas personas están involucradas en el proceso”, dijo Alim.
Cambios de radiación
Esta vez, sin embargo, las consecuencias del ciberataque fueron diferentes. Snell sospecha que el efecto se extiende a la confianza.
Desde el punto de vista de la confianza, en el pasado ha habido infracciones a gran escala contra otros menús industriales y fabricantes. El resultado, explicó Snell, fue una caída en el precio de las acciones debido a la falta de capacidad de la junta directiva o de los inversores.
«Colonial realmente debería estar observando y buscando otro ransomware escondido en alguna parte», sugirió. «Los investigadores ven muchas amenazas persistentes avanzadas».
Estos ataques harán que se infiltre, pero luego permanezca inactivo durante seis o doce meses. Él piensa que los investigadores han podido aislar el evento. Pero el departamento de TI de Colonial necesitaba dedicar más tiempo a investigar para ver dónde podría haber un problema.
«Si estuviera en el barco del Colonial en este momento, revisaría todo con un peine de dientes finos para asegurarme de que no haya nada escondido allí durante los próximos meses que pueda morderlos», dijo Snell.
Dibujar gráfico vectorial de ataque
Las incursiones continuas en la transformación digital son un factor potencial en el éxito de los ciberataques, advierten los expertos en ciberseguridad.
“Estamos viendo mucha transformación digital y es un arma de doble filo”, dijo Snell.
La transformación digital está mejorando los procesos, aumentando la eficiencia y mejorando los informes integrales de tecnología operativa (OT). Pero Snell señaló que los equipos de seguridad también están viendo que muchas organizaciones se abren a los ataques.
Sin duda, la mayoría de las vías de ataque se centran en explotar vulnerabilidades comunes conocidas en el software de red. Estos ataques intentan infiltrarse en los sistemas a través de mecanismos heredados y vulnerabilidades para aumentar los privilegios.
Luego intentaron reconocimiento interno y movimiento bilateral. El proceso es una carrera para adelantarse al tiempo de exposición. Snell explicó que este es el intervalo de tiempo entre el momento en que un hacker ingresa al entorno y el momento en que lo descubres.