El cártel de ransomware que planeó el ataque del Oleoducto Colonial a principios del mes pasado paralizó la red del operador del oleoducto utilizando una contraseña de cuenta de red privada virtual (VPN) comprometida, según reveló la última investigación sobre el incidente.
El desarrollo, del que informó Bloomberg el viernes, implicó obtener un punto de apoyo inicial en las redes el 29 de abril a través de la cuenta VPN, lo que permitió a los empleados acceder a las redes de la empresa de forma remota.
El inicio de sesión de VPN, que no tenía protecciones de múltiples factores, no se usó pero estaba activo en el momento del ataque, según el informe, y agregó que la contraseña se ha descubierto desde entonces dentro de un lote de contraseñas filtradas en la web oscura, lo que sugiere que un empleado de la empresa puede haber reutilizado la misma contraseña en otra cuenta que fue violada anteriormente.
Sin embargo, no está claro cómo se obtuvo la contraseña, dijo a la publicación Charles Carmakal, vicepresidente senior de la firma de seguridad cibernética Mandiant. La subsidiaria propiedad de FireEye actualmente está ayudando a Colonial Pipeline con los esfuerzos de respuesta a incidentes luego de un ataque de ransomware el 7 de mayo que llevó a la compañía a detener sus operaciones durante casi una semana.
DarkSide, el sindicato de delitos cibernéticos detrás del ataque, se disolvió desde entonces, pero no antes de robar casi 100 gigabytes de datos de Colonial Pipeline en el acto de doble extorsión, lo que obligó a la compañía a pagar un rescate de $ 4.4 millones poco después del ataque y evitar la divulgación de información sensible. Se estima que la pandilla se ha llevado casi 90 millones de dólares durante los nueve meses de sus operaciones.
El incidente del oleoducto colonial también ha llevado a la Administración de Seguridad del Transporte de EE. UU. a emitir una directiva de seguridad el 28 de mayo que requiere que los operadores de oleoductos informen los ataques cibernéticos a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dentro de las 12 horas, además de exigir a las instalaciones que presenten una evaluación de vulnerabilidad. identificando cualquier brecha en sus prácticas existentes dentro de los 30 días.
El desarrollo se produce en medio de una explosión de ataques de ransomware en los últimos meses, incluido el de la empresa brasileña de procesamiento de carne JBS la semana pasada por parte del grupo REvil vinculado a Rusia, lo que subraya una amenaza para la infraestructura crítica e introduce un nuevo punto de falla que ha tenido un impacto severo en las cadenas de suministro de los consumidores y las operaciones diarias, lo que provoca escasez de combustible y demoras en los procedimientos de emergencia sanitaria.
A medida que las demandas de rescate se han disparado drásticamente, pasando de miles a millones de dólares, también lo han hecho los ataques a víctimas de alto perfil, con empresas de los sectores de energía, educación, atención médica y alimentos convirtiéndose cada vez más en objetivos principales, lo que a su vez alimenta un círculo vicioso que permite a los ciberdelincuentes buscar los pagos más grandes posibles.
El modelo comercial rentable de la doble extorsión, es decir, la combinación de exfiltración de datos y amenazas de ransomware, también ha dado lugar a que los atacantes amplíen la técnica a lo que se denomina triple extorsión, en la que se exigen pagos a clientes, socios y otros terceros relacionados con el pago inicial. incumplimiento para exigir aún más dinero por sus crímenes.
De manera preocupante, esta tendencia de sobornar a los actores criminales también ha generado preocupaciones crecientes de que podría establecer un precedente peligroso, animando aún más a los atacantes a identificar infraestructuras críticas y ponerlas en riesgo.
REvil (también conocido como Sodinokibi), por su parte, ha comenzado a incorporar una nueva táctica en su libro de jugadas de ransomware como servicio (RaaS) que incluye organizar ataques de denegación de servicio distribuido (DDoS) y realizar llamadas de voz a la empresa de la víctima. socios y los medios de comunicación, «con el objetivo de ejercer más presión sobre la empresa de la víctima para cumplir con las demandas de rescate dentro del marco de tiempo designado», revelaron los investigadores de Check Point el mes pasado.
«Al combinar el cifrado de archivos, el robo de datos y los ataques DDoS, los ciberdelincuentes esencialmente han golpeado una trifecta de ransomware diseñada para aumentar la posibilidad de pago», dijo la firma de seguridad de redes NetScout.
El poder disruptivo de la pandemia de ransomware también ha puesto en marcha una serie de acciones, con la Oficina Federal de Investigaciones (FBI) de EE. UU. haciendo que el problema de larga data sea una «máxima prioridad». El Departamento de Justicia dijo que está elevando las investigaciones de ataques de ransomware a una prioridad similar a la del terrorismo, según un informe de Reuters la semana pasada.
Al afirmar que el FBI está buscando formas de interrumpir el ecosistema criminal que respalda la industria del ransomware, el director Christopher Wray le dijo al Wall Street Journal que la agencia está investigando casi 100 tipos diferentes de ransomware, la mayoría de ellos rastreados hasta Rusia, mientras compara el amenaza a la seguridad nacional frente al desafío planteado por los ataques terroristas del 11 de septiembre de 2001.
Actualizar: En una audiencia del comité del Senado el 8 de junio, el CEO de Colonial Pipeline, Joseph Blount, dijo que el ataque de ransomware que interrumpió el suministro de gasolina en los EE. UU. comenzó cuando los atacantes explotaron un perfil VPN heredado que no estaba destinado a estar en uso. “Todavía estamos tratando de determinar cómo los atacantes obtuvieron las credenciales necesarias para explotarlo”, dijo Blunt en su testimonio.
Además de cerrar el perfil VPN heredado, Blunt dijo que se implementaron capas adicionales de protección en toda la empresa para reforzar sus defensas cibernéticas. «Pero las bandas criminales y los estados nacionales siempre están evolucionando, afinando sus tácticas y trabajando para encontrar nuevas formas de infiltrarse en los sistemas de las empresas estadounidenses y el gobierno estadounidense. Estos ataques seguirán ocurriendo y la infraestructura crítica seguirá siendo un objetivo». «añadió.
