Desde el pasado jueves 7 de mayo, la costa este de EEUU vive una situación sin precedentes. Un ataque de ransomware ha dejado sin servicio el principal oleoducto de la compañía Colonial Pipeline.

Se trata de un ataque que ha afectado a una de las infraestructuras más críticas del país, a través de la cual se transporta el 45% de todo el combustible consumido en la costa este: unos 2 millones y medio de barriles de gasolina, diesel y queroseno – el oleducto da servicio a 7 aeropuertos en 14 estados -, así como combustible para calefacción doméstica.  Esta situación ha llevado a un aumento del precio de los combustibles: el precio promedio subió a más de 3 dólares por galón, el precio más alto desde 2014, provocando además colas en la mayoría de puntos de abastecimiento afectados.

¿Cómo se produjo el ataque? Los 7 días que pusieron en jaque al sistema

3

A pesar de su posición original, la compañía decide transferir 5 millones de dólares en criptomonedas, dato que no se conocería hasta el lunes 13 de mayo. (Fuente: Bloomberg).

5

Tres días más tarde, la compañía comunica se encuentra ideando aún un plan de reapertura. Abre líneas laterales entre terminales y puntos de entrega, aunque sus cuatro líneas de suministro principales continuarán cerradas.

7

Colonial Pipeline reinicia el funcionamiento del oleoducto 5 días más tarde, el 12 de mayo, si bien la compañía indica que tardarán varios días en restaurar el funcionamiento de la cadena de suministro. La empresa, que aún no ha hecho balance de los costes, aguarda frente al tsunami de reclamaciones y consecuencias legales del ataque que sufrirá durante los próximos meses.

“El 92% de los que pagan los rescates,

no obtiene sus datos de vuelta”

Fuente: SOPHOS Report

¿Qué medidas son aconsejables para evitar un ataque de ransomware de este estilo en infraestructuras críticas?

2. PROTEGER LOS ENDPOINTS DE FORMA AVANZADA

• La mejor forma de proteger los dispositivos es a través de un antivirus de última generación que permita un nivel de protección que cubra incluso los ataques que aún no se conocen, y respondiendo de forma autónoma (Endpoint Detection and Response – EDR). Para ello, este antivirus ha de analizar qué procesos son o no lícitos (incluso analizando el comportamiento) en lugar de basarse en una única base de conocimiento. Este nuevo enfoque resulta ser mucho más efectivo y ágil para luchar contra lo que se conoce como ataques de día cero.

✓ En Sofistic ayudamos a nuestros clientes en la securización de Microsoft 365 e incluso implantamos soluciones como Crowdstrike, un avanzado antivirus EDR con Inteligencia Artificial que aplica una protección combinada, basada en el comportamiento del usuario y la detección mediante firmas de malware.

4. CONTROLAR EL PERÍMETRO TECNOLÓGICO RESPONDIENDO EN SEGUNDOS

• A medida que crecen las empresas, es más complicado poder controlar la infraestructura de red y todos los dispositivos conectados a esta. Sólo mediante sistemas avanzados dotados de Inteligencia Artificial, aprendizaje automático y con capacidades de respuesta de forma autónoma, nos va a permitir controlar y minimizar los riesgos que encontremos en nuestra red.

✓ En SOFISTIC somos especialistas en la implementación de Darktrace, un sistema de detección de amenazas que actúa en segundos sobre cualquier amenaza que pueda ocurrir en la red, incluso las que están aún por descubrir.

6. AMPLIAR LA MALLA DE SEGURIDAD, INCLUSO FUERA DE LA EMPRESA

• En la línea de las últimas tendencias de ciberseguridad, se busca proteger todos los dispositivos que interactúan con la organización y con los que se acceden a los datos de esta, incluyendo a todos dentro de la malla de ciberseguridad de la empresa para que no existan interacciones sin protección. En muchas ocasiones los dispositivos que suelen quedar fuera de esta malla de seguridad son los teléfonos móviles con los que se accede al correo de la empresa y se visualiza incluso información confidencial.

✓ En este sentido, SOFISTIC ha desarrollado UareSAFE, una app que permite la protección de los móviles mediante el análisis de los riesgos más comunes en cada S.O, malware en Android y configuraciones inseguras en iOS.

Otros ataques a infraestructuras críticas:

🏭 Febrero 2021: Ataque a planta potabilizadora de aguas en Florida

La empresa notificó que algunos equipos de la planta, los cuales operaban en una versión desactualizada de Windows 7, se vieron comprometidos por un equipo de ciberdelincuentes que también pudo acceder a los sistemas hackeando las contraseñas que el personal utilizaba en aplicaciones como Teamviewer.  Los ciberdelincuentes tuvieron acceso al sistema de tratamiento de las aguas, lo que podría haber provocado un incidente de seguridad de mayor alcance.

🏭 Agosto 2017: Ataque a planta petroquímica saudí de Petro Rabigh

El 4 de agosto dos sistemas de cierre de emergencia pudieron evitar la liberación de gases tóxicos de sulfuro de hidrógeno que habría ocurrido como consecuencia de un malware conocido como Triton, el cual inutilizó sistemas de control clave de la empresa. Lejos de buscar un rendimiento económico, la investigación demostró que el ataque buscaba provocar una explosión en la planta, lo que no ocurrió debido a un error en el código. (Fuente: NY Times) .

☢️ Septiembre 2010: Ataque de gusano Stuxnet a instalaciones nucleares en Irán

Este malware gusano atacaba los sistemas SCADA de control industrial aprovechando una serie de vulnerabilidades de los sistemas Siemens. Si bien las autoridades iraníes no quisieron darle importancia, el virus afectó a 1.000 máquinas (la mayoría, centrifugadoras) de la central nuclear de Natanz. El ataque tuvo lugar a través de una memoria de USB infectada, y consiguió reprogramar las máquinas para su propia destrucción.

CONSECUENCIAS DEL ATAQUE:

Precios: El galón de combustible sube al nivel de 2014

La falta de combustible, sumado al pánico de los consumidores, provoca que el galón suba a 3$. Esta subida de precio tiene un efecto directo en la industria y en la economía en su conjunto.