El hack de Colonial Pipeline no es motivo de pánico por un ataque a la infraestructura

Una mujer llena latas de gasolina en una gasolinera Speedway el 12 de mayo de 2021 en Benson, Carolina del Norte. La mayoría de las estaciones en el área a lo largo de la I-95 están sin combustible luego del hack de Colonial Pipeline.

Sean Rayford | imágenes falsas

El hack de Colonial Pipeline no fue el primer dominó en caer en una serie de ataques repentinos que acabaron con el mundo en la infraestructura crítica de Estados Unidos, según varios expertos en ciberseguridad.

Es más probable que sea el producto de prácticas de seguridad internas descuidadas y un libro de texto de piratear y pagar que salió mal, dijeron.

El FBI dice que DarkSide, un grupo relativamente nuevo en la escena del ransomware, está detrás del ataque. Las señales apuntan a que se trata de un caso de un plan de extorsión fallido, en lugar del trabajo coordinado de los piratas informáticos que intentan comprometer la red energética de Estados Unidos.

Cualquiera que sea la motivación, el impacto fue real.

El gobierno federal emitió una declaración de emergencia para 17 estados y el Distrito de Columbia después de que colapsara el oleoducto más grande del país. Se informaron aumentos y escasez de precios de la gasolina en todo EE. UU., Aunque es probable que la crisis de suministro tenga más que ver con el pánico de los compradores que se dirigen a la gasolinera que con el ataque en sí. Colonial pagó casi $ 5 millones como rescate para desbloquear sus sistemas, dijo a CNBC una fuente familiarizada con la situación, confirmando informes anteriores.

Si bien el episodio ha dejado al descubierto cuán vulnerable es la infraestructura crítica de Estados Unidos para los ciberdelincuentes, no significa que de repente nos enfrentemos a un nuevo riesgo de cierres generalizados. Los ataques de ransomware como este son comunes, pero generalmente no tienen como objetivo dejar la infraestructura fuera de línea. Parece como si DarkSide, como la mayoría de los atacantes, estuviera motivado por ganancias financieras en lugar de comprometer el suministro de gas de Estados Unidos.

El ataque atrajo la atención del nuevo gobierno sobre el aumento de los ataques de ransomware y motivó al presidente Joe Biden a firmar una orden ejecutiva el miércoles, con el objetivo de fortalecer sus ciberdefensas.

“Dependiendo de la respuesta del gobierno de EE. UU. [the Colonial Pipeline attack], realmente podría hacer que otros grupos digan: ‘Oye, no vamos a apuntar a estos sectores en absoluto’ “, dijo Rick Holland, director de seguridad de la información de Digital Shadows, una compañía de inteligencia de ciberamenazas.

Un ataque común

Si bien los efectos de este truco fueron nefastos, el tipo de ataque no fue nuevo ni único de ninguna manera. De hecho, los ataques de ransomware, en los que los delincuentes instalan software que congela o bloquea los sistemas informáticos hasta que una empresa les paga un rescate, generalmente en bitcoins u otra criptomoneda, ocurren todo el tiempo.

“Todo el mundo está informando sobre este ataque de ransomware porque afecta las redes que involucran un oleoducto”, dijo Katie Nickels, directora de inteligencia de la firma de ciberseguridad Red Canary.

“Lo que es interesante para mí y para muchos otros profesionales de la ciberseguridad es que estos ataques de ransomware han estado ocurriendo durante años. Y parece que este, solo porque involucró infraestructura crítica en los EE. UU., Ha tocado un nervio particular. ”

En el último año y medio en particular, ha habido un rápido aumento en este tipo de ataques, dijo el exoficial de casos de la CIA Peter Marta, quien ahora asesora a empresas sobre la gestión del riesgo cibernético como socio del bufete de abogados Hogan Lovells.

Estamos en medio de una epidemia de ransomware en este momento.

Peter Marta

Socio, Hogan Lovells

“Para una persona promedio, esto es una gran noticia”, dijo Marta. “Pero cuando me enteré, ni siquiera fue un destello en el radar … Hay una falta de comprensión de que estamos en medio de una epidemia de ransomware en este momento”.

Pero incluso cuando aumenta la cantidad de ataques cibernéticos, la cantidad diseñada para paralizar los sistemas es pequeña, dijo Sergio Caltagirone, quien pasó ocho años trabajando como analista para la Agencia de Seguridad Nacional, donde fue responsable de encontrar, rastrear y contrarrestar la mayoría de los casos. ciberamenazas sofisticadas.

“En el espacio industrial, la cantidad de ataques cibernéticos que han sido diseñados para paralizar sistemas industriales como el agua, la energía, el petróleo y el gas … son incluso mucho, mucho, mucho, mucho, mucho más pequeños”, continuó Caltagirone, quien también fue un director de inteligencia de amenazas en Microsoft y ahora es vicepresidente de inteligencia de amenazas en Dragos, una firma de ciberseguridad industrial.

“La probabilidad más alta de que un evento perturbador importante como este vuelva a ocurrir en el futuro es a través de ataques inadvertidos como este”.

Defensas descuidadas

La infraestructura física de Estados Unidos generalmente tiende a ser vulnerable y los oleoductos son especialmente difíciles de defender. Si bien esta no es una buena noticia, ha sido así durante años, y los atacantes lo saben desde hace mucho tiempo. El ataque de la semana pasada no cambia eso ni revela ninguna información nueva.

Leo Simonovich, jefe de ciberseguridad industrial de Siemens Energy, le dijo a CNBC que parte del problema es que a medida que las empresas de petróleo y gas conectaban activos físicos como oleoductos con software y aplicaciones digitales, esencialmente solo incorporaban soluciones digitales a los activos obsoletos.

Deberías leer:   Los científicos encuentran la manera de convertir el plástico en un líquido valioso

“Esto crea una situación en la que es difícil detectar las amenazas a tiempo para detenerlas y, en algunos casos, incluso aplicar medidas básicas de higiene para protegerse”, dijo Simonovich.

Este ataque tuvo como objetivo la red tradicional de tecnología de la información de la empresa, no su red de tecnología operativa, es decir, los sistemas que mueven válvulas, arrancan y detienen bombas, miden cosas, etc. Colonial Pipeline hizo el llamado para cerrar su red OT y su tubería después de descubrir la brecha, no DarkSide.

Esa es una práctica estándar, pero no significa que la red OT en sí fuera vulnerable, dice Simonovich. “Con este ataque, y en otros ataques, los operadores terminan cerrando toda su producción de OT, porque no pueden estar seguros de qué ha sido afectado por el ataque o cómo responder”.

Los ciberdelincuentes probablemente no aprendieron nada nuevo la semana pasada. Los oleoductos son muy diferentes entre sí, porque están construidos expresamente. Un ataque contra un tipo específico de oleoducto no necesariamente conducirá a un ataque contra otro.

Además, debido a que a los intrusos generalmente les gusta conocer las redes de sus víctimas antes de lanzar un ataque, los defensores suelen tener múltiples oportunidades para encontrar y detener la cadena de ataque de ransomware antes de que llegue al punto de exfiltración y cifrado de datos.

“Una red simplemente no se despierta una mañana y recibe un ‘rescate’ de la nada”, dijo Nickels. “Tiene que pasar por una cadena de ataque completa … Hay tantas oportunidades para que los defensores detenga este ransomware”.

Muchas veces, el ransomware ingresa a través de un correo electrónico de phishing o una conexión de red que no está protegida con autenticación de dos factores. Nickels dice que unas sencillas técnicas de higiene pueden detener ese acceso inicial.

Una red simplemente no se despierta una mañana y recibe un ‘rescate’ de la nada.

Katie Nickels

Director de inteligencia, Red Canary

“Creo que hay mucho miedo y mucha gente está asustada … pero es posible detectar estas intrusiones de ransomware desde el principio”, continuó Nickels. “Es muy factible detectar a estos operadores … Puede encontrarlos y detenerlos antes de que las cosas se pongan tan mal”.

Tener suficiente mano de obra en el lugar es clave, y un lugar donde hay margen de mejora.

“La TSA admitió en 2017 que tenían seis empleados de tiempo completo responsables de supervisar la seguridad de 2.7 millones de millas de tuberías. Eso es algo que me preocupa”, dijo Neil Chatterjee, comisionado de la Comisión Reguladora de Energía Federal. la agencia que supervisa la seguridad crítica de la red eléctrica.

CNBC se acercó a Colonial Pipeline para preguntar sobre una vacante Trabajo de “Gerente de seguridad cibernética” que se ha publicado en el portal de trabajos de la empresa durante más de treinta días.

Colonial Pipeline escribió en un correo electrónico a CNBC que “la posición de ciberseguridad no se creó como resultado del reciente ataque de ransomware”. En cambio, dijo, el puesto era parte de sus esfuerzos de reclutamiento en curso. “Este es un rol que hemos estado buscando agregar en un esfuerzo por continuar construyendo nuestro actual equipo de seguridad cibernética”.

Efectos secundarios no deseados

Muchas señales indican que DarkSide no quería que las cosas se desarrollaran de esta manera.

La organización afirma preocuparse mucho por su reputación. DarkSide ha cultivado una imagen de “Robin Hood” y promociona un código de conducta en el que los piratas informáticos afirman que no se dirigirán a hospitales, organizaciones sin fines de lucro y, en particular, gobiernos.

“Nuestro objetivo es ganar dinero y no crear problemas para la sociedad”, escribió DarkSide en su sitio web.

La declaración, que contenía errores ortográficos y gramaticales, continuó afirmando que la organización no es política y “no participa en geopolítica”.

“Daña a la marca en general para DarkSide, y DarkSide es muy consciente de la marca”, dijo Holland. “Quieren tener una marca muy positiva en cuanto a: ‘Si nos paga, realmente lo descifraremos. Destruiremos los datos que le hemos robado'”.

“No tenían la intención de que esto fuera el resultado del ataque, pero ocurrió debido a la complejidad de los sistemas”, dijo Caltagirone.

Si bien Nickels dijo que es demasiado pronto para saberlo con certeza, sí dijo que DarkSide, en sus diez meses de historia, generalmente se ha dirigido a organizaciones que no representan un problema de seguridad nacional.

En cierto sentido, dice Holland, el ataque fue contraproducente: el gobierno de EE. UU. Ahora está mucho más concentrado en la amenaza de lo que solía estar, y el presidente Biden ha prometido hacerlo. “interrumpir y enjuiciar” miembros de DarkSide.

“Hay suficientes víctimas para extorsionar sin tener que perseguir este tipo de infraestructura crítica”, explicó Holland. “Creo que podría haber algunos cambios de focalización, en los que persiguen a otros grupos que no van a provocar la ira del gobierno de Estados Unidos y de todas las agencias posibles”.

El miércoles, el grupo de hackers dijo que ya había atacado a tres empresas más desde el ataque a Colonial Pipeline. Una de las empresas tiene su sede en Estados Unidos, otra en Brasil y la tercera en Escocia. Ninguno de los tres parece estar involucrado en infraestructura crítica.