Ciberataque a oleoducto expone brutal esquema de extorsión hacia Colonial Pipeline
lunes, 10 de mayo de 2021
La empresa victima del ciberataque se enfrenta a una serie de extorsiones para que la información robada no sea publicada
Bloomberg
El ataque que afectó a Colonial Pipeline la semana pasada es una forma novedosa de ciberdelincuencia que pone a las entidades corporativas normalmente estables en la trampa de un esquema de extorsión de la vieja escuela, en el que pueden entrar en juego el balance de una empresa, la situación de los seguros y la capacidad para absorber el daño de un largo cierre de las operaciones.
Los atacantes, especialistas en un tipo de ataque llamado ransomware, penetraron en la red administrativa de la empresa y bloquearon a los empleados en las computadoras de la compañía, lo que obligó el cierre inesperado de la principal fuente de suministro de diésel, gasolina y combustible para aviones de la costa este.
Colonial está recibiendo ayuda de expertos privados en ciberseguridad, pero la empresa se enfrenta en gran medida sola a una avalancha de opciones poco envidiables, entre las que destaca la de negociar con los piratas informáticos y pagar el rescate, según expertos en seguridad y veteranos negociadores.
Los ejecutivos de Colonial, así como gran parte del país, están recibiendo una brutal lección sobre la eficacia del ransomware y el hecho de que los hackers tienen la mayoría de las ventajas clave. Algunos grupos de ransomware, entre ellos DarkSide, el grupo sospechoso de haber accedido a Colonial, tienen ahora como práctica habitual bloquear los datos de la víctima y robarlos también, amenazando con hacerlos públicos como parte de la demanda de extorsión.
Colonial está saliendo de lo que suele ser la etapa más crucial de un ataque de ransomware, las primeras 72 horas, un período muye estresante y ponderado que puede revelar el alcance del daño infligido en las operaciones y el costo de la recuperación, según expertos en ciberseguridad. Colonial dijo el lunes que espera que el servicio se restablezca en su mayor parte al final de la semana.
En los días transcurridos desde el ataque, Colonial y su contratista de respuesta a incidentes, FireEye Inc., han estado en una carrera para expulsar a los piratas informáticos mientras intentan determinar exactamente el alcance de la infección del malware. Una cuestión clave es determinar cuántos datos se pueden restaurar sin pagar el rescate, según Chester Wisniewski, investigador principal de la firma de ciberseguridad Sophos.
“En la mayoría de los casos, aún estaríamos tratando de averiguar si los sacamos del sistema o si todavía hay formas en que puedan volver a entrar”, dijo Wisniewski. “En los primeros días, solo tratas de asegurarte de que el atacante no pueda deshacer los pasos que planeas dar una vez que llegues a la etapa de recuperación”.
Colonial no ha dicho nada sobre si tiene la intención de pagar un rescate, o incluso si la compañía está negociando con los piratas informáticos. Se sabe que los atacantes de DarkSide robaron casi 100 gigabytes de datos antes de encriptar los archivos de la compañía y exigir el pago, según dos personas familiarizadas con la investigación.
“Esto es bastante aterrador para la gente de Colonial”, dijo Vicki Knott, directora ejecutiva de Crux OCM, una compañía que busca automatizar las salas de control de oloeductos. “A Colonial le conviene más llegar a un acuerdo de ransomware que tener estos datos filtrados y luego pagar los juicios con todos sus clientes”.
Una de las posibilidades más serias, dijo Knott, es que los piratas informáticos robaran datos comerciales que son sensibles para cualquier operador de oloeductos, incluyendo lo que pagan los diferentes productores por enviar productos a través del oleoducto.
Debido a que el ransomware es ahora una empresa criminal global, Colonial tendrá un pequeño ejército de expertos disponibles para ayudar a los ejecutivos a resolver las variables. La aseguradora de Colonial probablemente se involucrará y podría proporcionar una lista aprobada de negociadores que la compañía debería usar si decide comunicarse con los piratas informáticos.
Por lo general, estos negociadores han trabajado en decenas de casos similares, y pueden haber negociado previamente con los piratas informáticos de DarkSide en otros casos. La víctima y los piratas informáticos pueden regatear el pedido de rescate, a veces durante días, antes de acordar una cifra final. DarkSide ha pedido anteriormente rescates de millones de dólares, pero dada la magnitud del ataque a Colonial, el precio podría ser más alto, según expertos en ciberseguridad.