El viernes 7 de mayo, Colonial Pipeline fue atacada por ciberataque de ransomware. Esta empresa lidera el transporte de combustible en Estados Unidos. Decidieron detener sus servicios por precaución. La empresa mueve más de 3 millones de barriles de gasolina y otros combustibles al día. Entre sus rutas está la costa del Golfo y el puerto de Nueva York.

El ataque lo llevó a cabo el grupo DarkSide. Para volver a operar, la empresa debió pagar un rescate millonario. Esto les permitió recuperar el control sobre sus sistemas dañados.

Aspectos Clave

  • El ciberataque a Colonial Pipeline comprometió la infraestructura digital de la empresa, llevando a la suspensión de sus servicios.
  • Colonial Pipeline es la mayor empresa operadora de oleoductos de Estados Unidos, transportando más de 3 millones de barriles de combustible.
  • Se estima que la empresa pagó un rescate de aproximadamente $5 millones de dólares al grupo DarkSide.
  • DarkSide opera con Ransomware-as-a-Service (RaaS) y ha afectado a diversas organizaciones, evitando atacar a servicios funerarios, hospitales y empresas de vacunas COVID-19.
  • El ransomware de DarkSide utiliza técnicas de spear phishing y SQL Injection para infectar a sus víctimas.

Contexto del ataque de ransomware a Colonial Pipeline

Un ataque de ransomware a Colonial Pipeline forzó a la empresa a detener todos sus sistemas. Esto llevó a una fuerte escasez de combustible en el este y sur de los Estados Unidos. Personas de estos lugares tuvieron que buscar gasolina urgentemente, causando un aumento en los precios del combustible. El cierre de la red tuvo un enorme impacto económico y afectó la cadena de suministro de energía.

Suspensión de servicios por ciberataque

Colonial Pipeline es un importante proveedor, suministrando más del 45% del combustible en la costa este de EE. UU. Frente al ciberataque de ransomware, tuvieron que suspender todas sus operaciones. Esta medida causó escasez de combustible en varios estados, afectando el suministro de gasolina, diésel y jet fuel.

Impacto en el suministro de combustible

La detención de servicios de Colonial Pipeline empujó a la gente a buscar combustible urgentemente. Esto provocó desabastecimiento y subida de precios del combustible. Tuvo un gran impacto económico y afectó negativamente comercios y empresas dependientes de gasolina y diésel.

Grupo DarkSide: los autores del ataque

Investigaciones muestran que el grupo DarkSide está detrás de este ciberataque. Su forma de operar, llamada Ransomware-as-a-Service (RaaS), incluye encriptar datos con Salsa20. Luego, los ciberdelincuentes secuestran estos datos para pedir un rescate. DarkSide no ataca ciertos sectores, como el de servicios funerarios y empresas de vacunas COVID-19. Para recibir el rescate, prefieren que se use Monero, una criptomoneda difícil de rastrear. Además, se ayudan de The Onion Router (TOR) para su comunicación y gestión de datos.

Modus operandi del grupo DarkSide

En agosto del año pasado, DarkSide inició su operación Ransomware-as-a-Service (RaaS). Desde entonces, ha golpeado a empresas como CompuCom y Copel de Brasil. Cifra datos con Salsa20 y luego los chantajea para recibir dinero.

Objetivos y normas de ataque de DarkSide

DarkSide tiene una lista de «objetivos aceptables» excluyendo, por ejemplo, hospitales. Piden rescates que van desde $200,000 a $20 millones, dependiendo de la empresa. Garantizan que no atacarán a países de la antigua Unión Soviética. Esta regla está incluida en su lista blanca.

EstadísticaValor
Organizaciones públicas y privadas afectadas por ransomware2,103
Bandas criminales dedicadas al uso de ransomware34
Rango de demandas de rescate del ransomware DarkSide$200,000 – $20 millones

Análisis del Ataque de Ransomware a Colonial Pipeline

Vector de infección inicial

Según Mandiant, usaron credenciales válidas de VPN de un trabajador de Colonial Pipeline. Este trabajador no tenía activada la autenticación multifactor. Con esto, lograron entrar a la red de forma remota y sin límites.

Una vez adentro, ciertas variantes de DarkSide infectan el sistema. Lo hacen usando un Dropper para descifrar y ejecutar el ransomware directamente en la memoria del sistema.

Comportamiento del ransomware DarkSide

Este malware busca las unidades de disco duro y otros medios para cifrarlos. También busca en la red conexiones para bloquearlas. En el proceso, el ransomware revisa la ubicación del sistema. Esto es para no atacar a los que se encuentran en ciertos países de la antigua Unión Soviética, que están en su lista blanca.

Análisis del ataque de ransomware

Configuración cargada en memoria del ransomware

La configuración del ransomware DarkSide ocupa un espacio en la memoria. Está guardada en la sección .data, ocupando 2,745 bytes. Al descomprimirse, crece a 159,040 bytes.

Esta información incluye detalles importantes. Como la lista blanca de archivos y extensiones, los procesos y servicios a detener, entre otros. También incluye el nombre del servidor C2 al que enviar la información robada, y el mensaje de rescate que se deja en los directorios infectados.

Lista de países e idiomas en la lista blanca

El ransomware DarkSide revisa qué idioma se usa y dónde está ubicado el sistema. Usa dos funciones para ver el código de idioma, así decide si atacar o no. Si ve que el sistema es de países como Rusia, Ucrania, Bielorrusia o de la antigua Unión Soviética, no cifrará archivos.

Este comportamiento de evasión es una función clave del ransomware DarkSide que evita a ciertos países. Así, puede seguir operando sin problemas. Revisar el idioma y la ubicación le permite al ransomware DarkSide escoger qué sistemas atacar y cuáles dejar de lado.

Esta lista blanca muestra países y idiomas que el ransomware DarkSide prefiere no atacar. Es parte de un plan cuidadoso para esquivar ciertas áreas y seguir delinquiendo con éxito. Entender esta característica es clave para comprender cómo opera este peligroso malware.

Información recabada previo al cifrado

Antes de cifrar los archivos, el ransomware DarkSide busca información sobre el host infectado. Esto incluye detalles como idioma, nombre del usuario y máquina. También verifica si pertenece a un dominio Active Directory. Otras informaciones son tipo de sistema operativo, espacio en disco y un ID único del equipo. Envía estos datos en formato JSON a un servidor de los atacantes. Usa un User-Agent especial para ocultar su actividad.

El ransomware DarkSide reúne estos datos antes de empezar a exfiltrar información. Así, aprende de la víctima. Esto ayuda a hacer sus ataques más efectivos y a aumentar la posibilidad de recibir un rescate.

Recolección de información del sistema

Cifrado de archivos por DarkSide

DarkSide vence barreras como listas blancas de países y lenguajes. Luego, busca y encripta archivos usando una función recursiva. Esta función revisa unidades extraíbles, discos duros locales y archivos compartidos en red. Previamente, deja un mensaje de rescate en los lugares afectados.

El cifrado se realiza con el algoritmo Salsa20. Utiliza una llave pública RSA-1024 para mantener seguras las claves de descifrado.

Detección de unidades lógicas

El ransomware DarkSide escanea el sistema a fondo. Busca todas las unidades lógicas disponibles. Esto incluye dispositivos extraíbles, discos duros y carpetas compartidas por la red. Así, se asegura de cifrar la mayor cantidad de archivos posible.

Proceso de cifrado de archivos

Una vez termina la investigación de unidades, DarkSide comienza a cifrar. Utiliza Salsa20 y la clave pública RSA-1024. Este método protege las claves de descifrado. Además, hace que desencriptar los archivos sea más complicado.

Impacto económico y medidas de recuperación

Colonial Pipeline tuvo que manejar extorsiones para evitar la publicación de información robada. Se cree que pagaron un rescate de unos 5 millones de dólares. Luego, las autoridades incautaron servidores y una cuenta de criptomonedas del grupo DarkSide. Esto ayudó a acabar con parte de su infraestructura.

A pesar del pago del rescate, Colonial Pipeline usó sus planes de negocio para volver a operar. La herramienta de descifrado de los atacantes era muy lenta.

Pago de rescate millonario

Se cree que Colonial Pipeline pagó 5 millones de dólares para recuperar su acceso. Este pago de rescate fue necesario para prevenir la publicación de los datos robados.

Desmantelamiento de infraestructura de DarkSide

Los servidores y una cuenta de criptomonedas de DarkSide fueron incautados. Este desmantelamiento de infraestructura ayudó a debilitar a aquellos detrás del ataque de ransomware.

Colonial Pipeline necesitó usar sus planes de negocio para recuperarse. La herramienta de descifrado de los atacantes no ayudó mucho.

Lecciones aprendidas y recomendaciones

El ataque de ransomware a Colonial Pipeline nos dejó valiosas lecciones. Aprendimos mucho sobre ciberseguridad de infraestructuras críticas. Es esencial que todos aumentemos nuestra conciencia de seguridad en el trabajo. Para hacerlo, es importante cumplir con políticas clave. Esto incluye usar autenticación multifactor, hacer copias de seguridad regulares, y entrenar a los operadores regularmente.

Importancia de la conciencia de seguridad

Los trabajadores de primera línea son cruciales para detectar y responder a tiempo ante amenazas de ciberseguridad. Por eso, invertir en su concientización y capacitación en seguridad es vital. Deben aprender a reconocer señales de alerta y usar buenas prácticas de ciberseguridad diariamente.

Necesidad de sistemas de detección y respuesta

Es vital contar con sistemas de detección y respuesta eficientes. Estos deben ser capaces de detectar los primeros indicios de un ataque. También, es necesario que puedan determinar su gravedad y responder rápidamente.

Los sistemas de detección y respuesta deben cubrir tanto el área de Tecnología de la Información (TI) como el de Tecnología Operativa (TO). De esta forma, se tendrá una visión completa sobre la seguridad de la organización.

RecomendaciónBeneficio
Implementar autenticación multifactorReducir el riesgo de acceso no autorizado a través de credenciales comprometidas
Realizar copias de seguridad regularesGarantizar la recuperación de la actividad en caso de ataques de ransomware
Capacitar a los empleados en ciberseguridadMejorar la detección y respuesta temprana ante amenazas
Implementar soluciones de detección y respuestaIdentificar y mitigar ataques de manera oportuna

Seguridad de infraestructura crítica

El ataque a Colonial Pipeline mostró que TI y TO deben trabajar juntos en la ciberseguridad. Antes, había una separación clara. Ahora, necesitamos soluciones como zonas virtuales y entornos seguros. Estos aseguran el acceso a los activos de forma segura.

Saber qué activos están expuestos y simular ataques es clave. Ayuda a encontrar vulnerabilidades y a mejorar la gestión de riesgos. Así, se hacen más fuertes contra amenazas como el ransomware.

La protección de infraestructuras críticas requiere un trabajo en equipo. Es necesario que quienes cuidan de la seguridad y de las operaciones colaboren. Así se mantiene el servicio en marcha y se previene contra los ciberataques.

Enlaces de origen

Deja un comentario