El ataque de ransomware contra las redes de Colonial Pipeline ha llevado a la Administración Federal de Seguridad de Autotransportes (FMCSA) de EE. UU. a emitir una declaración de emergencia regional en 17 estados y el Distrito de Columbia (DC).

La declaración proporciona una exención temporal a las Partes 390 a 399 de las Regulaciones Federales de Seguridad de Autotransportes (FMCSR), lo que permite el transporte alternativo de gasolina, diésel y productos de petróleo refinado para abordar la escasez de suministro derivada del ataque.

«Semejante [an] emergencia es en respuesta al cierre no anticipado del sistema de oleoductos de Colonial debido a problemas en la red que afectan el suministro de gasolina, diésel, combustible para aviones y otros productos refinados de petróleo en todos los Estados Afectados «, dijo la directiva». condiciones que crean una necesidad de transporte inmediato de gasolina, diésel, combustible para aviones y otros productos refinados del petróleo y proporciona el alivio necesario».

Los estados y jurisdicciones afectados por el cierre del oleoducto e incluidos en la Declaración de emergencia son Alabama, Arkansas, Distrito de Columbia, Delaware, Florida, Georgia, Kentucky, Luisiana, Maryland, Mississippi, Nueva Jersey, Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas y Virginia.

Las exenciones, que tienen por objeto paliar las posibles interrupciones del suministro que puedan surgir como consecuencia de la paralización de la operación del oleoducto de Colonial, se espera que estén vigentes hasta el final de la emergencia o hasta el 8 de junio de 2021 a las 23:59 horas, lo que ocurra antes.

El FBI confirma el ransomware DarkSide

El desarrollo se produce cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. confirmó que el cierre de uno de los oleoductos más grandes del país durante el fin de semana fue orquestado por el ransomware Darkside. El ataque cibernético obligó a la compañía a cerrar 5500 millas de tuberías de combustible desde la ciudad de Houston, Texas, hasta el puerto de Nueva York, lo que generó preocupaciones sobre la vulnerabilidad de la infraestructura energética de EE. UU. a los ataques cibernéticos.

«Colonial Pipeline continúa trabajando en asociación con expertos en seguridad cibernética de terceros, fuerzas del orden público y otras agencias federales para restaurar las operaciones de los oleoductos de manera rápida y segura», dijo Colonial Pipeline en un comunicado. «Si bien esta situación sigue siendo fluida y continúa evolucionando, el equipo de operaciones de Colonial está ejecutando un plan que implica un proceso incremental que facilitará el regreso al servicio en un enfoque por etapas».

Si bien el gobierno de EE. UU. dijo el lunes que no había evidencia que implicara que Rusia estuvo involucrada en el ataque del ransomware Colonial Pipeline, los operadores del ransomware DarkSide emitieron una declaración en su sitio de extorsión en la web oscura, prometiendo que tiene la intención de examinar a las compañías a las que pertenecen sus afiliados. apuntando hacia adelante para «evitar consecuencias sociales en el futuro».

«Somos apolíticos, no participamos en la geopolítica, no necesitamos atarnos con un gobierno definido y buscar otros nuestros motivos», dijo la banda de ciberdelincuencia, y agregó: «Nuestro objetivo es ganar dinero y no crear problemas para sociedad. «

DarkSide como la campaña Ransomware de Carbon Spider

El adversario, que supuestamente filtró datos relacionados con al menos 91 organizaciones desde que comenzó a operar en agosto de 2020, funciona como un esquema de ransomware como servicio (RaaS), en el que los socios están obligados a expandir la empresa criminal violando las redes corporativas e implementando el ransomware, mientras que los desarrolladores principales se encargan de mantener el malware y la infraestructura de pago. Los afiliados suelen recibir entre el 60 % y el 70 % de las ganancias y los desarrolladores ganan el resto.

Entre las víctimas cuyos datos internos se publicaron en el sitio de fuga de datos de DarkSide se encuentran otras compañías de petróleo y gas como Forbes Energy Services y Gyrodata, ambas con sede en Texas. Según Crowdstrike, se cree que DarkSide es obra de un actor de amenazas con motivación financiera llamado Carbon Spider (también conocido como Anunak, Carbanak o FIN7), cuyo gerente de alto nivel y administrador de sistemas fue sentenciado recientemente a 10 años de prisión en los EE. UU.

«El grupo DarkSide es un jugador relativamente nuevo en el juego del ransomware. Sin embargo, a pesar de ser un grupo nuevo, el equipo de DarkSide ya se ha ganado una gran reputación por hacer que sus operaciones sean más profesionales y organizadas», dijeron los investigadores de Cybereason el mes pasado. «El grupo tiene un número de teléfono e incluso una mesa de ayuda para facilitar las negociaciones con las víctimas, y están haciendo un gran esfuerzo para recopilar información sobre sus víctimas, no solo información técnica sobre su entorno, sino información más general sobre la propia empresa, como el tamaño de la organización y los ingresos estimados».

Al afirmar que la variante RaaS es el producto más reciente en unirse a la creciente tendencia de profesionalización del ransomware, la firma de ciberseguridad Digital Shadows mencionó el historial de DarkSide de emitir comunicados de prensa de estilo corporativo en su dominio Tor, etiquetando su modelo comercial como un «ransomware-como-a- corporación” (RaaC).

El incidente de Colonial Pipeline es el último ataque cibernético al que se enfrenta el gobierno de EE. UU. en los últimos meses, luego de los ataques a SolarWinds por parte de agentes de inteligencia rusos y la explotación de las vulnerabilidades de Microsoft Exchange Server por parte de actores de amenazas chinos.

«Derribar operaciones extensas como el oleoducto Colonial revela un ciberataque sofisticado y bien diseñado», dijo Lotem Finkelsteen, Jefe de Inteligencia de Amenazas de Check Point. «Este ataque también requiere un marco de tiempo adecuado para permitir el movimiento lateral y la euforia de los datos. Se sabe que Darkside es parte de una tendencia de ataques de ransomware que involucran sistemas que la comunidad cibernética rara vez ve involucrados en la red comprometida, como los servidores ESXi. Esto lleva ante las sospechas de que la red ICS (sistemas de infraestructura crítica) estaba involucrada «.

Actualizar: Tras el ataque de ransomware DarkSide que obligó a Colonial a detener el flujo de combustible a través de sus oleoductos durante el fin de semana, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó el martes un nuevo aviso instando a las empresas a seguir las mejores prácticas de seguridad para evitar interrupciones, incluida la implementación segmentación de red sólida entre redes de TI y OT; probar regularmente los controles manuales; y garantizar que las copias de seguridad se tomen periódicamente y se aíslen de las conexiones de red.

“CISA y el FBI no fomentan el pago de un rescate a los actores criminales”, dijo la agencia. «Pagar un rescate puede animar a los adversarios a apuntar a organizaciones adicionales, alentar a otros actores criminales a participar en la distribución de ransomware y/o puede financiar actividades ilícitas. Pagar el rescate tampoco garantiza que se recuperarán los archivos de la víctima».