{"id":25302,"date":"2021-05-17T17:27:11","date_gmt":"2021-05-17T15:27:11","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25302"},"modified":"2021-05-17T17:27:11","modified_gmt":"2021-05-17T15:27:11","slug":"pipeline-ransomware-mitigation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/pipeline-ransomware-mitigation\/25302\/","title":{"rendered":"El ataque de ransomware a Colonial Pipeline"},"content":{"rendered":"

El reciente ataque de ransomware<\/em> contra Colonial Pipeline, la empresa que controla la red de oleoductos que suministran combustible a una gran parte de la costa este de los Estados Unidos, se considera como uno de los m\u00e1s notorios de los \u00faltimos a\u00f1os. Como es comprensible, los detalles del ataque no se han hecho p\u00fablicos, sin embargo, cierta informaci\u00f3n se ha filtrado a los medios y a partir de esta podemos sacar una valiosa lecci\u00f3n: el aviso oportuno a las autoridades puede reducir los da\u00f1os. Por supuesto, no todos tienen opci\u00f3n: en algunos estados, las v\u00edctimas est\u00e1n obligadas a informar a los reguladores. Sin embargo, esta medida puede ser \u00fatil, incluso aunque no sea necesaria.<\/p>\n

El ataque<\/h2>\n

El 7 de mayo, un ransomware<\/em> atac\u00f3 Colonial Pipeline, quien opera el oleoducto de transferencia de combustible m\u00e1s grande de la costa este de los Estados Unidos. Los empleados tuvieron que desactivar algunos sistemas de informaci\u00f3n, en parte debido a que algunos ordenadores hab\u00edan sido cifrados y en parte para evitar que la infecci\u00f3n se extendiera. Esto ocasion\u00f3 retrasos en el suministro de combustible a lo largo de la costa este, lo que dispar\u00f3 el coste de la gasolina un 4 %.\u00a0 Para mitigar los da\u00f1os, Colonial Pipeline planea incrementar las entregas de combustible<\/a>.<\/p>\n

La empresa contin\u00faa restaurando sus sistemas, pero de acuerdo con las fuentes del blog Zero Day<\/em><\/a>, el problema no yace en las redes de servicio sino en el sistema de facturaci\u00f3n.<\/p>\n

El cierre federal<\/h2>\n

Ahora los operadores de ransomware<\/em> no solo cifran datos y exigen rescates para descifrarlos, sino que tambi\u00e9n roban informaci\u00f3n que les ayude en el momento de la extorsi\u00f3n. En el caso de Colonial Pipeline, los atacantes extrajeron aproximadamente 100GB<\/a> de datos de la red corporativa.<\/p>\n

Sin embargo, de acuerdo con el Washington Post<\/em><\/a>, los investigadores externos del incidente r\u00e1pidamente descubrieron qu\u00e9 pas\u00f3 y d\u00f3nde estaban los datos robados y se pusieron en contacto con el FBI. Por su parte, los federales se comunicaron con el proveedor de servicios de Internet propietario del servidor que alojaba la informaci\u00f3n cargada y les pidi\u00f3 que la aislaran. Como resultado, los ciberdelincuentes pudieron haber perdido el acceso a la informaci\u00f3n que robaron de Colonial Pipeline. Esta r\u00e1pida actuaci\u00f3n mitig\u00f3 los da\u00f1os, al menos parcialmente.<\/p>\n

Aunque saber qu\u00e9 pas\u00f3 no restaur\u00f3 los principales oleoductos de la empresa, s\u00ed evit\u00f3 que los da\u00f1os fueran mucho mayores.<\/p>\n

La atribuci\u00f3n<\/h2>\n

Al parecer, la empresa fue atacada por el ransomware<\/em> DarkSide, que puede ejecutarse en Windows y Linux. Los productos de Kaspersky detectan el malware<\/em> como Trojan-Ransom.Win32.Darkside y Trojan-Ransom.Linux.Darkside. DarkSide utiliza algoritmos de cifrado potentes, por lo que la restauraci\u00f3n de datos sin la clave correcta es imposible.<\/p>\n

A simple vista, el grupo DarkSide parece<\/a> un proveedor de servicios online<\/em>, con equipo de soporte, departamento de relaciones p\u00fablicas y centro de prensa. Una nota en el sitio web de los delincuentes dice que su motivaci\u00f3n para el ataque fue financiera, no pol\u00edtica.<\/p>\n

\"\"<\/p>\n

El grupo DarkSide utiliza un modelo de ransomware<\/em> como servicio<\/a>, proporcionando software<\/em> e infraestructura relacionada a los socios que llevan a cabo el ataque. Uno de estos socios fue responsable de dirigir el ataque contra Colonial Pipeline. De acuerdo con DarkSide, el grupo no ten\u00eda la intenci\u00f3n de causar consecuencias tan serias y, en adelante, pondr\u00e1n m\u00e1s atenci\u00f3n a las v\u00edctimas que sus \u201cintermediarios\u201d elijan. Sin embargo, es dif\u00edcil tomarse muy en serio esa declaraci\u00f3n debido a la larga lista de trucos de relaciones p\u00fablicas que utilizan.<\/p>\n

C\u00f3mo mantenerse a salvo<\/h2>\n

Para proteger tu empresa del ransomware<\/em>, nuestros expertos recomiendan:<\/p>\n