Autor: MARCO CRABU para Ciberprisma – Gentileza de OFCS REPORT ITALIA

Según un informe de la BBC, el grupo criminal de ransomware DarkSide parece estar detrás del ataque a Colonial Pipeline Company, el mayor proveedor de combustible de Estados Unidos, que se concretó el viernes 7 de mayo.Oleoducto colonial

Oleoducto colonial

El Colonial Pipeline Company , con sede en Georgia, es el sistema de gasoductos más grande en los Estados Unidos, que transporta hasta 100 millones de galones de líquidos cada día, incluyendo gasolina, diesel, combustible de aviación, y el gasóleo para calefacción y es también responsable del suministro de combustible a las siete aeropuertos más importantes de EE.UU.  Representa el 45 por ciento del suministro de combustible en las costas este y sur de los Estados Unidos y su sistema de tuberías se extiende por más de 5.500 millas entre Houston, Texas y Linden en Nueva Jersey, y sirve directamente a 14 estados.

Al enterarse del ataque de ransomware, la compañía inmediatamente desconectó algunos de los sistemas en un intento por controlar la amenaza cibernética, cerrando temporalmente todas las operaciones de distribución.

El incidente se informó de inmediato a las fuerzas de seguridad, al gobierno federal y al Departamento Nacional de Energía.

48 horas después del accidente, la empresa Oil & Gas ha adoptado un conjunto de medidas preventivas para monitorear y proteger la seguridad de todo el oleoducto. Por lo tanto, se contrató a los principales expertos en seguridad del mercado para tratar de hacer frente al ciberataque, incluida FireEye Inc., una conocida empresa estadounidense de seguridad informática.

El propio FBI, el Departamento de Energía y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) están colaborando con Colonial Pipeline para investigar el asunto a fondo. 

Al mismo tiempo, también se puso en marcha un plan de reinicio del sistema. Aunque los cuatro oleoductos principales permanecieron cerrados todo el tiempo, algunos ramales menores se reabrieron el domingo 9 de mayo, mientras que otros se están reiniciando y se espera que todo el sistema vuelva a funcionar solo después de la confirmación de que se ha restaurado toda la planta.

También el domingo, la Administración Federal de Seguridad de Autotransportistas (FMCSA) emitió una declaración de emergencia regional de 17 estados que anula temporalmente a los transportistas y conductores de automóviles que brindan asistencia a áreas que carecen de «… gasolina, diésel, combustible para aviones y otro petróleo refinado …» algunos de los requisitos del código de regulaciones federales. La declaración de emergencia regional afectará los territorios de Alabama, Arkansas, Distrito de Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, Nueva Jersey, Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas y Virginia. y permanecerá vigente hasta el 8 de junio de 2021.

El gasoducto estuvo cerrado durante tres días, aunque los expertos dijeron que los precios probablemente no se verán afectados si el gasoducto vuelve a estar operativo en los próximos días. Sin embargo, Debnil Chowdhury, director ejecutivo de IHS Markit, la principal fuente de información y conocimiento sobre áreas críticas en el panorama empresarial, informó en una agencia de noticias que los precios podrían comenzar a subir si la pausa dura de una a tres semanas.

El ransomware Darkside resurge en la Dark Web.

Pero, ¿qué es el ransomware, quién es este grupo delictivo y cómo opera?

Cuando aparecieron las primeras amenazas de ransomware en 2013, el propósito del pirata informático (o cracker) era cifrar los datos informáticos de la víctima y luego exigir un rescate por un programa descifrador.

Fuente: BBC
Fuente: BBC

Piense, por ejemplo , en CryptoLocker,un programa de ransomware lanzado a principios de septiembre de 2013 (la amenaza se hizo inofensiva en junio siguiente), que tenía como objetivo todas las versiones de Windows, incluidas Windows XP, Windows Vista, Windows7 y Windows8. Este ransomware cifró algunos de los archivos del sistema informático mediante una combinación de cifrado RSA y AES. Al final del cifrado de los archivos, se mostró un programa de pago a los desafortunados, precisamente el CryptoLocker, que luego requirió un modesto rescate de $ 100 o $ 300 para descifrar los archivos comprometidos. A la víctima también le apareció una pantalla que mostraba un temporizador que indicaba el tiempo requerido (72 horas o 4 días típicamente) para pagar el rescate, bajo pena de eliminación de la clave de cifrado, perdiendo así cualquier posibilidad de descifrar los archivos. Este rescate debería haberse pagado a través de vales de MoneyPak o Bitcoin. Una vez realizado el pago, el programa descifra automáticamente los archivos.

Hoy, sin embargo, esta nota de rescate puede variar desde unos pocos cientos de dólares hasta millones de dólares en criptomonedas, dado que estos ataques han comenzado a apuntar a grandes empresas y multinacionales, así como a servicios públicos y las infraestructuras críticas más conocidas del mundo.

Tras las primeras experiencias de CryptoLocker la estrategia de los ataques llevados a cabo con técnicas de ransomware cambió en el modus operandi. De hecho, en los últimos años los piratas informáticos comenzaron a llevar a cabo una estrategia de doble extorsión, ya que una vez que la red de las víctimas estaba encriptada, los datos robados estaban disponibles en la Dark Web si no se pagaba un rescate para recuperarlos y juntos eliminaban la infección. . de sus sistemas informáticos.

De esta manera, las víctimas, más preocupadas por nuevas violaciones pero sobre todo para evitar las posibles demandas de sus clientes, se inclinaron bastante imprudentemente a pagar el rescate. 

También es cierto que, aunque puede parecer menos costoso pagar un rescate, no hay garantía de que estos datos no sean liberados o vendidos en la Dark Web por los propios actores de la amenaza. Y es por eso que es más conveniente reportar el evento a la Autoridad Pública tratando todo como una Brecha de Datos y mostrar la más amplia transparencia en el incidente en el que ocurrió.

Según DarkTracer, un conocido investigador de la Dark Web, parece haber al menos 34 bandas criminales dedicadas al uso de ransomware, famosas por haber filtrado los datos de casi 2.103 organizaciones públicas y privadas. 

Entre estas bandas están : Team Snatch, MAZE, Conti, NetWalker, DoppelPaymer, NEMTY, Nefilim, Sekhmet, Pysa, AKO, Sodinokibi (REvil), Ragnar_Locker, Suncrypt, DarkSide, CL0P, Avaddon, LockBregor, Mount, Ranzeydon, Cuba , Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname y XING LOCKER, y muchos otros, incluso si algunos de estos ya no están activos.

Fuente: DarkTracer

DarkSide llamó la atención del público global y de la industria de la ciberseguridad cuando salió por primera vez en agosto del año pasado con su Ransomware-as-a-Service (RaaS).

 Fuente: DarkTracer

Desde entonces ha resurgido en el Dark Web y sus seguidores ahora están activos en foros clandestinos. A través de sus publicaciones, han lanzado una nueva campaña que involucra la última variante del ransomware, a saber, Darkside 2.0. Esta versión presenta una infraestructura de software actualizada con funciones optimizadas. El ransomware elimina servicios como vss, sql, svc, memtas, mepocs, sophos, veeam y backup, dedicados a procesos que velan por la seguridad y las copias de seguridad de los sistemas informáticos.

Anteriormente, DarkSide ha alcanzado otros tiempos, pero siempre objetivos de alto perfil e interés estratégico como: CompuCom, Discount Car and Truck Rentals, Brookfield Residential y la Companhia Paranaense de Energia (Copel) de Brasil.

El grupo delictivo ha declarado explícitamente que no apuntará a hospitales, escuelas, universidades ni organizaciones sin fines de lucro. 

«… Por el momento no hay evidencia de que Rusia esté involucrada en el ciberataque al oleoducto Colonial Pipeline en los Estados Unidos …», dijo hoy el presidente estadounidense Joe Biden hablando a la Casa Blanca y arrojando agua sobre el fuego para enfriar los espíritus.

Sin embargo, es bastante desconcertante que este escurridizo grupo de galletitas, que padecen el «síndrome de Robin Hood» – yo le robo a los ricos para dárselo a los pobres (¡mah!) – solo afecte a los países de habla inglesa y salve a las naciones que formaban parte de la ex Unión Soviética (incluida Rusia).

Artículo publicado originalmente el 10/05/2021 en OFCS.Report – Osservatorio – Focus per la Cultura della Sicurezza, Roma, Italia, https://www.ofcs.it/cyber/ransomware-darkside-dietro-lattacco-alloleodotto-usa/#gsc.tab=0