Uno de los oleoductos más grandes de los EE. UU., Colonial Pipeline, que transporta gasolina refinada y combustible para aviones desde Texas hasta la costa este hasta Nueva York, se vio obligado a cerrar después de ser golpeado por un ataque de Ransomware.

El 8 de mayo, The New York Times publicó un boletín relacionado con un ciberataque a la infraestructura de TI / OT de una gran empresa de transporte de combustible de EE. UU.

Aunque no hay indicios de que la red de OT de la entidad se haya visto afectada directamente. La compañía decidió cerrar las 5.500 millas por quinto día como medida de precaución, cerrando proactivamente ciertos sistemas OT para evitar la propagación de malware y garantizar la seguridad de los sistemas.

Los atacantes obtuvieron acceso inicial a la red de la empresa para implementar DarkSide Ransomware en la red de TI de la empresa. El análisis de este ciberataque aún está en progreso por parte de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI.

ETEK ha identificado las siguientes tácticas, técnicas y procedimientos realizados por piratas informáticos:

  • Spear phishing para obtener acceso inicial a la red de TI de la organización antes de pasar a la red OT e implementar Ransomware para cifrar datos e impactar en ambas redes.
  • Usar puertos de uso común y protocolos de capa de aplicación estándar para comunicarse con los controladores y descargar la lógica de control modificada. También se conecta a controladores lógicos programables (PLC) accesibles a través de Internet que no requieren autenticación para el acceso inicial.
  • Modificar la lógica y los parámetros de control en los PLC.

Entre las acciones inmediatas, ETEK recomienda encarecidamente que:

  1. Si usa alguna plataforma de seguridad OT, siga las pautas de los proveedores.
  2. Revisar e implementar las acciones recomendadas por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
  3. Además, identifique el tráfico anormal o sospechoso entrante o saliente a direcciones IP peligrosas. El tráfico malicioso está cubierto por diferentes técnicas y tácticas utilizadas por los atacantes para acceder a los sistemas de la organización.
  4. Aísle los sistemas afectados desactivando el inicio de sesión en los dispositivos afectados para evitar una mayor propagación, actualice los sistemas y realice acciones de reparación, incluida la reinstalación y la recuperación ante desastres.
  5. Esté atento a los posibles ataques de día cero. Las amenazas continúan aumentando y evolucionando, los sistemas de TI y los datos empresariales ya no son el foco central de los malos, ya que las campañas de ransomware ahora están evolucionando para apuntar específicamente a los sistemas de control industrial (ICS). Por ejemplo, una investigación de la empresa de seguridad Dragos ha encontrado un nuevo ransomware que no solo encripta datos y potencialmente interrumpe la infraestructura crítica.

Si ya se beneficia de los servicios de seguridad gestionados de ETEK, ya está protegido. De lo contrario, puede contactarnos en securityadvisory@etek.com .

By. Juan David Marin
Cybersecurity Advisor