Actualizado el 14/5/2021
Aparentemente la Compañía Colonial Pipeline logró reestablecer sus sistemas luego del ataque, pero no está claro si esto tuvo que ver con el pago del rescate a los atacantes o no. Por otro lado, luego de que el Presidente de los Estados Unidos, Joe Biden, hablara en conferencia de prensa sobre lo que ocurrió con el ataque de ransomware a la compañía de oleoducto y manifestara que, si bien creen fuertemente que el gobierno de Rusia no tiene ningún tipo de vínculo con los responsables del ataque, sí creen que los criminales detrás del ransomware DarkSide viven en dicho país y manifestó que es importante que los países tomen medidas para combatir el accionar de estos grupos de cibercriminales. Después de estas declaraciones un popular foro de hacking ruso, en el que suelen participar y anunciarse varias bandas de ransomware en busca de afiliados, anunció que de ahora en adelante el Ransomware-as-a-Service será prohibido y que se eliminarán todos los hilos al respecto. Después de las declaraciones de Biden el propio grupo DarkSide manifestó que perdieron el control de la parte pública de su infraestructura y según algunos medios la banda criminal aparentemente estaría retirándose.
El pasado 7 de mayo un ataque del ransomware DarkSide impactó a Colonial Pipeline, la compañía de oleoducto más importante de Estados Unidos, provocando el corte del suministro de nafta, diesel y otros productos refinados para un tramo de aproximadamente 8850 kilómetros que va desde Texas hasta Nueva York. La compañía confirmó al día siguiente el ciberataque y afirmó que para contener la amenaza tuvieron que desconectar algunos equipos.
Según confirmó el FBI, el responsable de este ataque es el ransomware DarkSide. Por otra parte, la compañía comunicó este lunes que continúan trabajando para restaurar de vuelta sus sistemas de manera rápida pero también segura, aunque aclara que este es un proceso que lleva tiempo. Según publicó BBC, los atacantes habrían robado más de 100 GB con información de la compañía.
Las consecuencias de este ataque a una infraestructura crítica tan importante como Colonial Pipeline llevó a que la Administración Federal de Seguridad de Autotransportistas (FMCSA, por sus siglas en inglés) declarara la emergencia regional en Alabama, Arkansas, Washington D.C., Delaware, Florida, Georgia, Kentucky, Luisiana, Maryland, Misisipi, Nueva Jersey, Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas, y Virginia.
Lectura recomendada: Los grupos de ransomware con mayor actividad el último año
Cabe destacar que el suministro de productos refinados del petróleo que realiza Colonial Pipeline a refinerías locales y otros mercados representa el 45% del combustible que se consume en la Costa Este de los Estados Unidos y a más de 50 millones de habitantes.
Si bien no se precisaron detalles acerca de cómo fue que lograron comprometer los sistemas de Colonial Pipeline, vale la pena mencionar que muchos grupos de ransomware han estado aprovechando —entre otras vías de acceso inicial— las conexiones remotas como el RDP para acceder a los sistemas de las víctimas. Según una charla que se realizó en febrero de 2020 (antes del inicio de la pandemia) en la conferencia RSA, el agente del FBI, Joel DeCapua, más del 80% de los ataques de ransomware exitosos se llevaron adelante logrando vulnerar la red mediante ataques de fuerza bruta a las credenciales del RDP. Con el diario del lunes sabemos lo que ocurrió a raíz de la pandemia y el aumentó el trabajo remoto en el mundo, con muchas empresas que se vieron obligadas por la situación a hacer uso de herramientas para permitir que los empleados puedan conectarse remotamente a los sistemas de la compañía. Este fenómeno también fue aprovechado por los atacantes, que si bien ya abusaban las conexiones remotas como el RDP antes de este fenómeno, datos de ESET demuestran que durante el 2020 los ataques al RDP crecieron 768% entre el primer y último trimestre de 2020.
DarkSide: el grupo detrás de este ataque
Visto por primera vez en agosto de 2020, DarkSide es un ransomware que opera bajo el modelo de Ransomware-as-a-Service (RaaS, por sus siglas en inglés) que realiza ataques dirigidos y que suele solicitar montos elevados para el pago de los rescates. Bajo el modelo de RaaS participan básicamente quienes desarrollan la amenaza y los afiliados, que son quienes se ocupan de distribuir el ransomware. Entre estas dos partes se dividen las ganancias que obtienen por el pago del rescate. Curiosamente, este lunes la banda detrás de este ransomware lanzó un comunicado señalando que debido a que no quieren generar consecuencias sociales, de ahora en adelante monitorearán los blancos apuntados por los afiliados para evitar en el futuro que se realicen ataques que terminen afectando a la sociedad.
Este grupo es el mismo que en octubre de 2020 anunciaba que donaría parte del dinero obtenido de los rescates a una organización sin fines de lucro que colabora con niños que viven en extrema pobreza. Sin embargo, según explicó BleepingComputer tras la declaración pública de la donación la organización se vio obligada a rechazar el dinero por haberse generado de manera ilegal.
Al igual que otros grupos de ransomware que han tenido importante actividad en el último tiempo, DarkSide sustrae información de los sistemas comprometidos antes de cifrar la información y en caso de no querer negociar el pago del rescate extorsiona a sus víctimas con filtrar la información en un sitio específicamente creado para ese fin.
Una señal de alerta para la infraestructura crítica
La gravedad y el alcance del ataque nos hace recordar al ataque que sufrió en febrero otra infraestructura crítica en Estados Unidos: una planta potabilizadora de agua en Oldsmar, Florida. En esa oportunidad, los atacantes aparentemente lograron acceder a los sistemas a través de TeamViewer, un software ampliamente utilizado para brindar soporte y acceso remoto, e intentaron envenenar el suministro de agua de la ciudad al manipular los niveles químicos de hidróxido de sodio.
Por otra parte, vale la pena mencionar que este no es el primer ataque a compañías del sector energético en el mundo. En 2019 la petrolera mexicana Pemex sufría un ataque a manos del ransomware Dopplepaymer, mientras que en el 2020 en Brasil otras compañías energéticas como Electrobras y Copel sufrían también un ataque de ransomware; esta última también a manos de DarkSide.
Quizás te interese:
Ransomware y filtración de información: una tendencia que se consolidó en 2020
Crece el número de víctimas del ransomware Avaddon en América Latina
Ataques de ransomware y su vínculo con el teletrabajo