El pasado 7 de mayo la compañía de oleoductos de productos refinados más grande de los Estados Unidos Colonial Pipeline fue víctima de un ataque de ransomware DarkSide. El ataque contra esta infraestructura es una cruda realidad de lo frágil que puede ser un ataque a una infraestructura crítica de un país.
En su comunicado inicial informo que “poco después de enterarse del ataque, Colonial desconectó proactivamente ciertos sistemas para contener la amenaza. Estas acciones detuvieron temporalmente todas las operaciones del oleoducto y afectaron algunos de nuestros sistemas de TI”.
Colonial Pipeline, envía combustible desde la costa de Golfo de Texas a la costa este de Estados Unidos a través de 8.850 kilómetros de oleoductos.
El FBI confirmó el pasado 10 de mayo que el responsable de este ciberataque es el ransomware DarkSide y que siguen trabajando en la investigación en conjunto con otras instituciones de gobierno.
Colonial indicó que se encuentran reactivado los servicios de “manera escalonada” según la conformidad de las regulaciones federales y el Departamento de Energía. Se encuentran ejecutando un plan enfocado en fases para “restaurar sustancialmente el servicio a final de la semana”.
Además, la administración Federal de Autotransportistas del Departamento de Transporte de EE. UU. (FMCSA), emitió una exención temporal de horas de servicio que a quienes transportan gasolina, diesel, combustible para aviones y otros productos refinados del petróleo a Alabama, Arkansas, Distrito de Columbia, Delaware, Florida, Georgia, Kentucky, Luisiana, Maryland, Mississippi, Nueva Jersey, Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas y Virginia. Para aliviar las limitaciones de suministro en varios estados .
Una alerta generada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI indican que los actores de amenaza de DarKSide se han dirigido a varias organizaciones de altos ingresos.
En agosto de 2020 DarKSide anuncio su Ransomware-as-a-Service, en el que las ganancias se comparten entre sus propietarios y socios, o afiliados, que brindan el acceso a las organizaciones e implementan el ransomware.
Según la Alerta de CISA los actores obtienen acceso inicial a través de phishing, cuentas y sistemas explotables de forma remota, infraestructura de escritorio virtual (VDI) y protocolos de escritorio remoto (RDP). Luego de tener acceso a los sistemas utilizan redes TOR para establecer comunicación con el servidor Comando y Control. Además, como mecanismo secundario utilizan CobalStrike.
CISA y el FBI instan a los propietarios y operadores aplicar recomendaciones de ciberseguridad https://us-cert.cisa.gov/ncas/alerts/aa21-131a, para ataques de ransomware, además la compañía de seguridad Bitdefender entrega de forma gratuita una herramienta descifradora de Darkside.
