La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. emitió hoy una advertencia a todas las industrias que operan infraestructuras críticas sobre una nueva amenaza de ransomware que, si no se aborda, podría tener graves consecuencias.
El aviso se produce en respuesta a un ataque cibernético dirigido a una instalación de compresión de gas natural sin nombre que empleó phishing para enviar ransomware a la red interna de la empresa, encriptando datos críticos y dejando fuera de servicio a los servidores durante casi dos días.
«Un actor de amenazas cibernéticas usó un enlace de phishing para obtener acceso inicial a la red de tecnología de la información de la organización antes de pasar a su red de tecnología operativa. Luego, el actor de amenazas implementó ransomware de productos básicos para cifrar datos para impactar en ambas redes», señaló CISA en su alerta.
A medida que los ataques de ransomware continúan aumentando en frecuencia y escala, el nuevo desarrollo es otra indicación de que los ataques de phishing continúan siendo un medio efectivo para eludir las barreras de seguridad y que los piratas informáticos no siempre necesitan explotar las vulnerabilidades de seguridad para violar las organizaciones.
CISA destacó que el ataque no afectó a ningún controlador lógico programable (PLC) y que la víctima no perdió el control de sus operaciones. Pero a raíz del incidente, se informa que la empresa inició un cierre operativo deliberado, lo que resultó en una pérdida de productividad e ingresos.
Al señalar que el impacto se limitó a los sistemas y activos basados en Windows ubicados en una sola localidad geográfica, dijo que la compañía pudo recuperarse del ataque al obtener equipos de reemplazo y cargar las últimas configuraciones buenas conocidas.
Aunque la notificación se basa en los detalles del ataque, esta no es la primera vez que se emplean enlaces de phishing para entregar ransomware. La red de TI de Lake City quedó paralizada en junio pasado después de que un empleado sin darse cuenta abrió un correo electrónico sospechoso que descargó el troyano Emotet, que a su vez descargó el troyano TrickBot y el ransomware Ryuk.
El panorama de amenazas en evolución significa que las empresas deben considerar el alcance completo de las amenazas que se plantean para sus operaciones, incluido el mantenimiento de copias de seguridad periódicas de los datos y el diseño de mecanismos de conmutación por error en caso de un cierre.
Además de asegurar el canal de correo electrónico e identificar y proteger a las personas más atacadas, esto también subraya la necesidad de adoptar medidas antiphishing apropiadas para evitar que los intentos de ingeniería social lleguen a las bandejas de entrada de sus objetivos y capacitar a las personas para detectar correos electrónicos que pasan.
Además, es imperativo que las organizaciones vulnerables salvaguarden la cadena de suministro digital segmentando la infraestructura de red crítica utilizando firewalls y realizando auditorías de seguridad periódicas para identificar brechas y debilidades.
Para obtener una lista completa de las medidas de mitigación que se pueden tomar, diríjase al aviso de CISA aquí.
Actualizar:
La firma de seguridad cibernética Dragos emitió una evaluación el miércoles que vincula el ataque a la instalación con una alerta emitida por la Guardia Costera de los EE. UU. en diciembre. La infección del ransomware Ryuk obligó a cerrar las instalaciones durante 30 horas, lo que interrumpió los sistemas de control de acceso físico y de cámaras, además de cerrar toda la red de TI corporativa en las instalaciones.
El análisis citó superposiciones en el período de interrupción entre los dos informes, el impacto en los sistemas basados en Windows y el principal vector de ataque que es un mensaje de correo electrónico que contiene un enlace malicioso.
