Vigilancia de Sightline ante ciberataques: perfil de Colonial Pipeline

24 de mayo de 2021

El viernes 7 de mayo, Colonial Pipeline, una empresa privada y uno de los operadores de oleoductos más grandes de los Estados Unidos, informó que había sido víctima de un ciberataque, un cibersecuestro de datos a gran escala. Los efectos fueron inmediatos: escasez de combustible y precios más altos, además de una sensación de que, una vez más, la infraestructura de la energía y de los servicios públicos en los Estados Unidos estaba en riesgo a causa de las permanentes vulnerabilidades en el IdC. Estos ataques a empresas industriales y de servicios públicos siguen aumentando en frecuencia e impacto, por lo que los expertos de la industria han advertido que, si no se abordan las principales inquietudes de ciberseguridad, puede haber consecuencias aún más devastadoras en futuros ataques, tanto para la economía como para la infraestructura esencial. El incremento de los sistemas conectados modernos con la Industria 4.0 ha aumentado la eficiencia y el monitoreo para los sectores de energía y servicios públicos, pero esos sistemas, cuando no están debidamente protegidos, pueden convertirse en un punto de acceso para que los atacantes traspasen la infraestructura de TI y TO.

La tendencia cada vez mayor de los ciberataques no está exenta de posibles soluciones. Los expertos han hecho recomendaciones para mejorar la ciberseguridad y atender la creciente preocupación dentro de la industria de la fabricación y el IdC. Brandon Witte, director ejecutivo y presidente de Sightline Systems, afirma que tales ataques pueden evitarse o minimizarse su impacto mediante la implementación de un monitoreo de datos del sistema vinculado a la seguridad a través de las redes y un estricto protocolo de seguridad de los datos.


Vea la grabación disponible: “Vulnerabilidades que nunca supo que existían” | Webinario en directo sobre ciberseguridad con preguntas y respuestas | Brandon Witte (director ejecutivo de Sightline Systems) y EG Pearson (arquitecto de soluciones de Unisys)


 Impacto de gran alcance: para Colonial Pipeline y los Estados Unidos

La empresa atacada, Colonial Pipeline, incluye una infraestructura de transporte de 5500 millas que suministra a diario 100 millones de galones (2.5 millones de barriles) de gasolina, diésel, combustible para aviones y petróleo. Esto representa más del 45 % del combustible utilizado en la costa este de los EE. UU., desde la costa del Golfo en Texas hasta el área metropolitana de Nueva York. Para evitar que el ataque se propagara, Colonial cerró sus sistemas de la costa este, por lo que se paralizaron todas las operaciones del oleoducto durante más de seis días. Para recuperar el control de sus sistemas de TI y TO, Colonial decidió pagar un rescate de $4.4 millones en bitcoins tras el cibersecuestro de datos, una decisión controversial que fue en contra de las recomendaciones del FBI.

“Fue lo correcto por el país”, dijo el director ejecutivo de Colonial, Joseph Blount, en las declaraciones comunicadas por AP:

¿Lo fue? ¿Existe alguna forma de evitar que ocurran estos ataques en el futuro?

Más allá del costo para Colonial, las repercusiones siguen afectando a todo el país, tanto a los consumidores como a las empresas. El cierre del oleoducto durante una semana y el lento regreso a su capacidad total provocaron que el público hiciera compras motivadas por el pánico, lo que causó una grave escasez de gasolina y combustible en todo el país: según Reuters, algunos estados notificaron que el 90 % de las gasolineras se quedaron sin combustible. Para el 19 de mayo, una semana después de la reapertura del oleoducto, 9500 gasolineras aún estaban sin combustible, sobre todo en el Atlántico Medio de la costa este. El precio de la gasolina en todo el país ha aumentado a sus niveles más altos desde 2014, con un promedio nacional de $3.04 por galón. Aduciendo la gran preocupación por la seguridad nacional, el presidente de los EE. UU. Biden firmó una nueva orden ejecutiva de ciberseguridad el 12 de mayo, después del ataque al oleoducto, creando nuevas directrices para responder a tales ataques, exigiendo transparencia a las empresas que han sido atacadas y aumentando la participación del gobierno tras cualquier vulneración de seguridad.

DarkSide: el atacante

La mayoría de los expertos coinciden en que el atacante fue DarkSide, una organización criminal en Rusia y Europa del Este, con posibles vínculos con el gobierno ruso. Con su experiencia en esquemas de cibersecuestro de datos como servicio (RaaS, por sus siglas en inglés), es posible que DarkSide haya recibido más de $90 millones en bitcoins por concepto de rescate en ciberataques anteriores.

No se conocen por completo los detalles exactos ni se tiene una línea de tiempo específica del ataque y la vulneración de seguridad, pero se cree que el grupo DarkSide compró u obtuvo por medio de extorsión las credenciales de empleados individuales; luego, usaron el acceso para infiltrarse en la red sin ser detectados y propagar así secuencias de comandos maliciosas por toda la infraestructura de TI y TO. Se sospecha que utilizan diversos métodos sofisticados para evitar que se detecte su infiltración, los cuales incluyen el autocifrado de códigos maliciosos dentro de la red. 

Cibersecuestro de datos como servicio y redes de afiliados: un problema cada vez mayor

La frecuencia y el impacto de este tipo de ataques de cibersecuestro de datos como servicio (RaaS) están aumentando drásticamente, sobre todo en los sectores de la energía y los servicios públicos, pero también son cada vez más lucrativos. Las organizaciones criminales de RaaS, como DarkSide, que se especializan en el desarrollo de programas maliciosos y códigos para el cibersecuestro de datos, también emplean una amplia red de conspiradores afiliados”, que se especializan en la investigación, identificación de blancos potenciales, obtención de acceso a las credenciales de usuarios individuales específicos mediante la compra directa, la extorsión, el chantaje o los fraudes electrónicos. Por ejemplo, se sabe que DarkSide ha recibido $90 millones en bitcoins de las organizaciones que han sido víctimas; según los informes, ha pagado $74.7 millones a sus afiliados, muchos de los cuales tienen vínculos con el crimen organizado. Estos ataques generan pagos masivos relacionados con el cibersecuestro a una red entera de cómplices.

DarkSide expresa claramente esta realidad financiera al declarar públicamente su intención y motivación como organización en su sitio web: “nuestro objetivo es ganar dinero, no crear problemas para la sociedad”. 

Ciberseguridad del IdC: amenazas a la infraestructura global

Aunque muchos podrían considerar el impacto de este ataque como un incidente desafortunado pero aislado, en realidad representa una amenaza mucho más profunda para la seguridad dentro de la industria que muchos expertos temen que pueda aprovecharse y provocar resultados aún más devastadores. El Ransomware Task Force (RTF), un grupo dedicado de empresas de tecnología, entidades gubernamentales y expertos en ciberseguridad, dice que estos ciberataques afectan las vidas de manera activa, y tienen inmensas repercusiones en la sociedad y la economía. En solo algunos años, RTF comentó que el “cibersecuestro de datos se ha convertido en una grave amenaza para la seguridad nacional y en un problema de seguridad y salud pública”.

Un factor fundamental en el aumento se señala en un artículo de opinión de Foreign Policy escrito por Jason Bordoff de la Universidad de Columbia, quien concluye que “el ataque a Colonial es un recordatorio de los muy conocidos riesgos para la ciberseguridad en el sistema de energía” y que con el auge de la Industria 4.0, “los riesgos para el petróleo y la gasolina pueden aumentar no solo a medida que los atacantes se vuelven cada vez más sofisticados, sino también a medida que la industria recurre cada vez más al uso de herramientas de inteligencia artificial y digitalización para incrementar la producción y reducir los costos”. Aunque no se ha confirmado la ubicación exacta del origen de la filtración, se sabe que Colonial Pipeline tiene un sistema sofisticado de IdC lleno de mecanismos de monitoreo y control, y dispositivos conectados a la red. Sabemos que la empresa ya participa en una investigación de la comisión de la Cámara de Representantes de los EE. UU. y enfrenta al menos una demanda por posibles vulnerabilidades de seguridad.

¿Cómo nos defendemos de estos ataques?

Para defenderse contra este tipo de ataques, es necesario tener sistemas avanzados y defensas digitales de vigilancia permanente, pero eso no significa que las empresas no puedan evitarlos en el futuro. Según el director ejecutivo de Sightline, Brandon Witte, estos ataques pueden evitarse y minimizarse su impacto mediante el uso de microsegmentación y redes deconfianza cero”. En alianza con Unisys Corporation, Sightline ha presentado SIAS, que combina dos soluciones de última generación en una, por lo que ofrece a los fabricantes una seguridad potente y fácil de usar para proteger mejor sus entornos.

“SIAS brinda confianza cero, encubrimiento, cifrado y microsegmentación a la gestión de redes en un paquete fácil de usar”, afirma Witte. “El aprovechamiento de SIAS ayuda a las organizaciones a reducir las posibilidades de ataques, lo que minimiza el alcance y el impacto de las vulneraciones de los ataques como este”.

“Al fin y al cabo, no pueden atacar y vulnerar lo que no pueden ver”.

 

Webinario sobre ciberseguridad

Perfil del ataque:

Blanco: Colonial Pipeline

Industria: Petróleo y gasolina, infraestructura esencial

Fecha: 7 de mayo de 2021

Tipo de ataque: Cibersecuestro de datos

Exigencia: Se exigieron al menos $4.4 millones en bitcoins, los cuales Colonial confirmó que pagó

Presunto atacante: DarkSide, una organización criminal dedicada al cibersecuestro de datos como servicio (RaaS, por sus siglas en inglés) con sede en Rusia, Europa del Este, que se sospecha que tiene vínculos con el estado nación, además de una red de afiliados cómplices criminales

Método de ataque: 

  • Se informó que se dirigió a empleados y se obtuvieron credenciales de usuarios mediante extorsión/compra
  • Acceso sin detección a través de la red y de los sistemas de TI y TO
  • Presuntamente se usaron mecanismos para evitar la detección, incluido el autocifrado de secuencias de comandos

Impacto inmediato: 

  • Colonial ha confirmado el pago del rescate de $4.4 millones en bitcoins
  • La empresa se vio obligada a cerrar sus 5500 millas de oleoducto durante varios días
  • Se tardaron más de 6 días para que se reanudaran por completo las operaciones
  • Ha causado un impacto en los precios de la gasolina y el combustible, los cuales ya se han elevado en todo el país

“Al fin y al cabo, no pueden atacar lo que no pueden ver”

Brandon Witte

Director ejecutivo y presidente, Sightline Systems

Vea nuestra grabación en directo del debate + preguntas y respuestas: Vulnerabilidades que nunca supo que existían

El aterrador ataque de cibersecuestro de datos al oleoducto que ocurrió la semana pasada es solo el último ciberataque que aparece en las noticias y muestra la creciente amenaza cibernética para los sectores de la fabricación, la industria y los servicios públicos. Muchos equipos piensan que saben exactamente dónde podrían tratar de infiltrarse los ataques, pero estas amenazas cada vez mayores y los ataques recientes lo demuestran con claridad: hay vulnerabilidades que se están pasando por alto en el mundo de la ciberseguridad del IdC.

No por coincidencia, pero sin duda de manera oportuna, Sightline y Unisys organizaron un webinario gratuito en vivo el 26 de mayo, en el que recibiremos más información importante sobre este ataque, y la orientación de expertos sobre cómo se producen y pueden prevenirse estos ataques. Aunque crea saber dónde se encuentran todas las vulnerabilidades de su organización, quizás le resulte conveniente verlo para conocer lo que podría estar pasando por alto.