¿Qué sucedió en el ataque de ransomware a Colonial Pipeline?
¿Y cómo pudo haberse evitado?
Durante el fin de semana del 8 al 9 de mayo de 2021, otro potente ciberataque ha desestabilizado los servicios públicos y ha acaparado los titulares. Esta vez, la víctima ha sido un importante oleoducto de Estados Unidos llamado Colonial Pipeline. Este oleoducto, que va de Texas a Nueva York, se encarga de suministrar el 45% de todo el combustible de la costa este, proporcionando 2,5 millones de barriles por día. Sin embargo, el viernes 7 de mayo tuvo que interrumpir su actividad tras sufrir un ciberataque por parte de la organización criminal DarkSide. Los hackers, arrepentidos, han declarado recientemente que no tenían intención de «crear problemas a la sociedad», sino que lo único que buscaban era ganar dinero de forma rápida.
Dejando a un lado sus intenciones, los hackers de Darkside lograron derribar la infraestructura crítica de Colonial Pipeline, y no se espera que esta empresa vaya a volver a su actividad habitual durante varios días más. Se prevé que este incidente se convierta en uno de los mayores ataques a la infraestructura energética de Estados Unidos, y también se cree que puede llegar a provocar el aumento repentino de los precios del combustible a medida que el sector se apresura a redistribuir los suministros. Pero ¿cómo ha podido suceder un ataque tan grave? ¿cómo se ha conseguido infiltrar e interrumpir tan fácilmente un oleoducto estadounidense crítico?
¿Qué ocurrió durante el ataque de ransomware a Colonial Pipeline?
La organización de hackers DarkSide parece atribuirse la responsabilidad del ataque de ransomware que provocó que Colonial Pipeline parara su actividad como medida de precaución. En una declaración oficial publicada en la página web del grupo, donde únicamente se habla de las «últimas noticias», la organización criminal ha afirmado que «nuestro objetivo es ganar dinero y no crear problemas a la sociedad», lo que sugiere que el ataque no se llevó a cabo según lo planeado.
Al descubrir la infiltración de ransomware, Colonial Pipeline tomó la medida proactiva de cerrar su red e interrumpir su servicio con el fin de evitar consecuencias más graves. Recientemente se ha descubierto que un servidor que la organización criminal utilizó poseía datos importantes y otros archivos de la empresa de oleoductos.
Para los hackers de ransomware, el objetivo es simple: ganar dinero. El rescate promedio pagado por las organizaciones víctimas en Europa, EE. UU. y Canadá casi se ha triplicado de 115 123 $ en 2019 a 312 493 $ en 2020. Si a estas cifras le añadimos el valor de los datos robados y filtrados que pueden venderse a través de la Dark Web, los ataques de ransomware se convierten en una actividad bastante lucrativa.
¿Cuáles son las repercusiones del cierre de Colonial Pipeline?
Por lo menos este grave incidente ha expuesto cuán vulnerable es la infraestructura de la industria energética y de suministros frente a interrupciones y ciberataques. Por ejemplo, en febrero, una planta de tratamiento de agua en Florida sufrió un hackeo que buscaba envenenar el suministro de agua de la ciudad. En el caso del sector energético, al contar con datos altamente sensibles y una infraestructura crítica, este se convierte en una industria extremadamente sensible y valiosa para los hackers.
Consideramos que el ciberataque a Colonial Pipeline va a tener un claro impacto en el mercado. El tiempo de inactividad de un oleoducto tiene mayores consecuencias que en otros sectores, ya que puede impactar a los mercados financieros, a sectores comerciales que dependen del combustible (como las aerolíneas y el transporte) y a millones de personas. El viernes 7, Colonial Pipeline se vio obligado a cerrar su oleoducto de 5 500 millas (8 850 km), interrumpiendo la distribución de gasolina, diésel y combustible para aviones en todo el noreste de EE. UU., y no se espera que vuelva a abrir por completo durante días. Desde que esta noticia salió a la luz, los precios del petróleo crudo ya se han incrementado.
¿Cómo se produjo el ciberataque del oleoducto y cómo podría haberse evitado?
En este momento todavía no se sabe cómo el grupo DarkSide llevó a cabo su ataque, pero se sabe que la organización actúa generalmente a través de ransomwares. Este tipo de malware se utiliza para infiltrarse en una infraestructura de TI de destino, autoelevar privilegios para acceder a los datos más valiosos y confidenciales para luego cifrarlos, bloqueando a los dichos datos sus propietarios y exigiendo el pago de un rescate con el fin de recuperar el acceso a los mismos.
De manera extraoficial se sabe que el grupo DarkSide opera fuera de Rusia y, dada la situación sanitaria actual, suponemos que utilizaron el acceso remoto para acceder al sistema de Colonial Pipeline. Debido a la crisis de la COVID-19, la gran mayoría de las empresas siguen trabajando a distancia y algunos empleados se ven obligados a utilizar redes no seguras y herramientas de acceso remoto (como VNC o TeamViewer), especialmente en entornos OT. Estas conexiones remotas no seguras suponen una gran responsabilidad y vulnerabilidad para las organizaciones. Lo más probable es que los hackers de DarkSide aprovecharan un punto de entrada remoto y vulnerable para comprometer un objetivo crítico y luego usaran sus privilegios elevados autodesignados para moverse lateralmente a través de la infraestructura de TI y así robar y cifrar los datos más valiosos de Colonial Pipeline.
Una y otra vez se demuestra que el acceso remoto y los endpoints que no están suficientemente securizados son los principales vectores de riesgo de ciberseguridad para cualquier organización. Esta realidad no ha hecho más que magnificarse debido a la crisis de la COVID-19, que ha supuesto un rápido cambio hacia el trabajo remoto y la transformación digital para empresas que todavía no estaban preparadas o securizadas.
¿Cómo pueden las organizaciones con una infraestructura crítica como Colonial Pipeline prevenir los ciberataques?
Las organizaciones de todos los sectores, pero especialmente las que pertenecen a la TO y a la energía, deben centrarse en dos elementos clave:
- Securización de los endpointsaplicando el Principio del Menor Privilegio
- Acceso remoto seguro a través de una sólida gestión de usuarios con privilegios y una autenticación de identidad
Si Colonial Pipeline hubiera implementado una política de privilegios mínimos, los hackers nunca habrían podido utilizar las credenciales robadas para llevar a cabo la escalada de privilegios y así acceder a datos y sistemas confidenciales. A través de un sistema de Gestión de Acceso Privilegiado, incluso las conexiones de acceso remoto habrían requerido una autenticación y validación multifactor con el fin de garantizar que solo aquellos con los permisos correctos en el momento adecuado pudieran acceder a los sistemas, e incluso los usuarios privilegiados tan solo habrían tenido acceso al mínimo indispensable.
Además, si hubiera habido una solución Endpoint Privilege Management implementada, cualquier ransomware habría sido detenido en seco. Las sólidas soluciones de EPM se encargan de bloquear cualquier proceso o aplicación que intente realizar operaciones que no están permitidas, como el cifrado, independientemente del nivel de privilegios del usuario, lo que inhabilita al ransomware.
Hoy en día, las empresas necesitan acceso remoto a su infraestructura de TI para continuar con su actividad. También es esencial para las organizaciones mantener la productividad al mismo tiempo que se protegen de las consecuencias catastróficas de una violación o interrupción, particularmente en entornos de TO. Sin embargo, securizar redes de herramientas y sistemas complejas y heterogéneas puede resultar complicado, y la tecnología VPN ya no es suficiente. En este contexto, es primordial introducir el control sobre el acceso y la actividad privilegiados, con visibilidad y trazabilidad completas con el fin de garantizar que las acciones privilegiadas estén autenticadas, autorizadas y bloqueadas en caso de que se necesite una responder rápidamente a un incidente.
