En esta ocasión, un ataque de ransomware a Colonial Pipeline, retiene servicios críticos en una nación.

 

Continúan los ciber ataques de ransomware a infraestructuras críticas.

Hace pocos dias era noticia el ataque ransomware a Acer por tratarse del mayor rescate solicitado, en esta ocasión se trata de una compañia petrolera.

Colonial Pipeline es la compañía de uno de los oleoductos más grandes de EEUU, que suministra el 45% del combustible, gasolina y otros productos derivados del petróleo entre Texas y Nueva York.

La compañía fue creada en 1961 y sus propietarios son:

(Fuente: wikipedia, https://en.wikipedia.org/wiki/Colonial_Pipeline )

U.S. Energy Information Administration, Public domain, via Wikimedia Commons

Colonial Pipeline Disruption U.S. East Coast (29877529455)

 

El Servicio de suministro de combustible de Colonial Pipeline, quedó detenido durante 6 días.

 

Colonial Pipeline tuvo conocimiento del ataque y detuvo de forma proactiva el oleoducto, paralizando el suministro, para así evitar daños mayores y de esta forma, contener la amenaza.

Al tratarse de un ataque a una infraestructura crítica, que afectó a 17 estados, el Presidente Biden emitió un comunicado de emergencia.

Aquí puedes ver la información completa acerca del seguimiento de la incidencia del ataque ransomware a Colonial Pipeline.

Al parecer, el grupo de atacantes denominado DarkSide, según confirmó el FBI, accedió a la red interna de Colonial Pipeline.

Darkside actúa casi siempre con los mismos patrones, consiguen acceder a la red interna, se propagan silenciosamente a otros dispositivos, recopilan credenciales de acceso y roban datos.

La información robada, será utilizada después para extorsionar a Colonial en su demanda de rescate.

 

FBI ransomware

 

¿Cuál es el impacto económico del ataque ransomware?

Colonial Pipeline ha conseguido recuperar parcialmente sus servicios de la cadena de suministro tres el ataque ransomware sufrido, aunque todavía algunos siguen sin funcionar.

El pasado 13 de mayo, Colonial ya tenía la totalidad de la red operativa y el suministro, restablecido.

Colonial Pipeline habría efectuado el pago del rescate por importe de 5 millones de $, para obtener las claves de descifrado de la encriptación, momentos después de producirse el ataque de ransomware, según informó Bloomberg aquí.

Los atacantes habrían entregado las claves de descifrado pero la recuperación estaba siendo tan lenta que Colonial siguió recuperando sus copias de respaldo para restaurar los servicios afectados.

A pesar de ello, todavía algunos sistemas de la red de Colonial, siguen sin funcionar.

En las declaraciones realizadas por Anne Neuberger, la principal funcionaria de ciberseguridad de la Casa Blanca, se negó a pronunciarse acerca de si las empresas deberían o no pagar los rescates de ransomware:

“Reconocemos que las empresas a menudo se encuentran en una posición difícil si sus datos están encriptados, no tienen copias de seguridad y no pueden recuperar los datos», dijo a la prensa.

Aunque esta opinión no deja de ser un dilema para las víctimas, quienes tienen que valorar los riesgos de no pagar frente al coste de la exposición de información, muchas empresas deciden realizar el pago del rescate.

Las empresas no deben pagar jamás ningún rescate por extorsión.

Las organizaciones tienen que invertir para aprender a evitar un ataque de ransomware.

Empleando esas cifras en tecnología de proteccion, herramientas de recuperación, planes de contingencia y de continuidad de negocio y sobretodo, cursos de formación al personal.

Las extorsiones terminarán el día que no haya víctimas que quieran colaborar en mantener el oscuro negocio del ciber terrorismo.

 

Colonial sin funcionar

(Algunos servicios de Colonial Pipeline todavía siguen sin funcionar).