Colonial Pipeline pagó casi $ 5 millones como rescate a los ciberdelincuentes

Colonial Pipeline reanudó todo su sistema de tuberías el jueves, casi una semana después de haber sido infectado con ransomware dirigido a sus sistemas de TI, lo que lo obligó a pagar casi $ 5 millones para recuperar el control de sus redes informáticas.

«Después de este reinicio, la cadena de suministro del producto tardará varios días en volver a la normalidad», dijo la compañía en un comunicado el jueves por la noche. «Algunos mercados atendidos por Colonial Pipeline pueden experimentar o continuar experimentando interrupciones intermitentes durante este período inicial. Colonial enviará tanta gasolina, diésel y combustible de aviación como sea posible de manera segura y lo hará hasta que los mercados regresen». a la normalidad».

Sin embargo, el sitio web oficial de la compañía se desconectó desde que se escribió con el mensaje «Esta solicitud ha sido bloqueada por seguridad».

Refiriéndose a «dos personas familiarizadas con la transacción», Bloomberg dijo que la compañía pagó dinero a las pocas horas del ataque del ransomware DarkSide para obtener una herramienta de descifrado que resultó ser tan lenta que Colonial usó sus propias copias de seguridad para restaurar los sistemas renderizados. ransomware roto. Insurance Insider informó a principios de esta semana que el operador del oleoducto tenía alrededor de $ 15 millones en seguros cibernéticos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) no aprueba el pago de rescate a los delincuentes porque puede alentar a los oponentes a apuntar a más organizaciones y alentar a otros ciberdelincuentes a participar en la distribución de ransomware. Sin embargo, las entidades afectadas a menudo han optado por cumplir con los requisitos de los atacantes, ya que esta es la forma más rápida de restaurar el funcionamiento normal y evitar el riesgo de exposición de datos.

Una investigación de ProPublic de 2019 reveló cómo las aseguradoras están apoyando el aumento de las amenazas de ransomware cubriendo los costos menos los copagos, que suelen ser mucho más bajos que el rescate exigido por los atacantes.

«Las amenazas se han vuelto más competentes en la realización de operaciones de extorsión multilateral, y este éxito ha contribuido directamente al rápido aumento de los incidentes de ransomware con un alto impacto en los últimos años», dijo FireEye, una empresa de seguridad cibernética cuya subsidiaria Mandiant está trabajando para responder a incidencias. . «Los operadores de ransomware han incorporado otras tácticas de extorsión para aumentar la probabilidad de que las víctimas paguen un rescate».

El equipo de análisis de amenazas de la empresa supervisa cinco grupos de actividades de implementación de DarkSide, incluidos UNC2628, UNC2659 y UNC2465, algunos de los cuales han estado activos desde al menos abril de 2019.

DarkSide, anunciado por un actor de habla rusa llamado «darksupp» en los foros en ruso exploit.in y xss.is, actúa como un ransomware-as-a-service (RaaS), y sus creadores reciben un rescate del 25 % por debajo de $ 500,000, cargo que se reduce al 10% para pagos de más de $5 millones a FireEye.

Tras el ataque de Colonial Pipeline, los operadores de ransomware DarkSide emitieron una declaración en su sitio de chantaje de la web oscura, prometiendo que tienen la intención de examinar las empresas a las que apuntan sus afiliados para «evitar consecuencias sociales» en el futuro. Es más, xss.is anunció hoy una prohibición unilateral de la promoción de ransomware en el foro de delitos cibernéticos de la red oscura, presumiblemente en un esfuerzo por evitar una atención no deseada.

«El ransomware se ha vuelto político», admin xss.is él dijo en una publicación revelada por Yelisey Boguslavskiy de Advanced Intel. «Peskov (secretario de prensa de Putin) se ve obligado a disculparse con nuestros amigos en el extranjero»… Ahora se compara con cosas desagradables: geopolítica, chantaje, piratería del gobierno. La palabra se ha vuelto peligrosa y tóxica».

«La asociación RaaS conduce al establecimiento de una economía orgánica masiva centrada en los principales foros rusos», dijo Boguslavskiy. «Ahora esta economía puede verse completamente interrumpida».

La reciente ola de ciberataques dirigidos a SolarWinds, Microsoft Exchange y Colonial Pipeline también ha llevado al gobierno de EE. UU. a tomar medidas para fortalecer las defensas «protegiendo las redes federales, mejorando el intercambio de información entre el gobierno de EE. UU. y el sector privado sobre cuestiones cibernéticas». y fortalecer la capacidad de los Estados Unidos para responder a los incidentes cuando ocurran».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática