Ataque de ransomware fuerza el cierre de 2 dias de un gasoducto

El Departamento de Seguridad Nacional de los Estados Unidos (DHS) dijo el martes que una infección por una cepa de ransomware no identificada forzó el cierre de una tubería de gas natural durante dos días.

Afortunadamente, nada explotó. El atacante nunca obtuvo el control de las operaciones de la instalación, las interfaces hombre-máquina (HMI) que leen y controlan las operaciones de la instalación se desconectaron con éxito, y un control central geográficamente separado pudo vigilar las operaciones, aunque no era instrumental en controlarlos.

Donde todo esto sucedió es un misterio.

La alerta, emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS, no dijo dónde se encuentra la instalación de compresión de gas natural afectada. En cambio, se limitó a resumir el ataque y proporcionó orientación técnica para otros operadores de infraestructura crítica para que puedan ceñirse a ataques similares.

Sin embargo, la alerta se volvió bastante específica con el vector de infección: quienquiera que fuera el atacante, lanzaron un ataque de pesca submarina exitoso, que les permitió obtener acceso inicial a la red de TI de la instalación antes de pasar a su red de tecnología operativa (OT).

Las redes OT son donde residen el hardware y el software para monitorear y / o controlar dispositivos físicos, procesos y eventos. Algunos ejemplos son los sistemas de control industrial SCADA , los controladores lógicos programables (PLC) y las HMI.

Después de que los atacantes pusieron sus manos en las redes de TI y OT, implementaron lo que CISA llamó ransomware «básico», encriptando datos en ambas redes. El personal perdió acceso a HMI, historiadores de datos y servidores de encuestas. Los historiadores de datos, a veces denominados historiadores de procesos u operacionales, se utilizan en varias industrias y hacen lo que usted podría esperar: registrar y recuperar datos de producción y procesos por tiempo y almacenar la información en una base de datos de series de tiempo.

Aunque los humanos perdieron parcialmente su visión de algunos dispositivos OT de bajo nivel, el ataque no afectó a los PLC y, por lo tanto, la instalación nunca perdió el control de las operaciones. De la alerta:

En ningún momento el actor de la amenaza obtuvo la capacidad de controlar o manipular las operaciones.

La alerta de CISA también señaló que, aunque el plan de respuesta a emergencias de la instalación victimizada no tuvo específicamente en cuenta los ataques cibernéticos, se tomó la decisión de implementar lo que el DHS llamó un «cierre deliberado y controlado» de las operaciones. Ese cierre duró unos dos días. También afectó a otras instalaciones de compresión que estaban vinculadas al sitio victimizado, según el aviso:

Las instalaciones de compresión geográficamente distintas también tuvieron que detener las operaciones debido a las dependencias de transmisión de la tubería.

Como resultado, «todo el activo de la tubería» tuvo que cerrarse durante dos días, no solo la instalación de compresión victimizada.

¿Por qué, en estos días, cuando el ransomware y otros ataques de malware se están volviendo locos, los ataques cibernéticos se habrían quedado fuera del plan de respuesta de emergencia de una empresa de servicios públicos? CISA dijo en su aviso que la instalación victimizada señaló que una brecha en el conocimiento de seguridad cibernética es un factor mitigante: está en el corazón de la falla de la instalación de «incorporar adecuadamente la seguridad cibernética en la planificación de respuesta de emergencia».

Durante años, el DHS ha estado advirtiendo que las naciones enemigas han estado listas para interrumpir los servicios de energía estadounidenses.

En 2018, el jefe de análisis del sistema de control industrial del DHS, Jonathan Homer, se puso específico. Dijo que entre 2016 y 2018, los piratas informáticos rusos atraparon a «cientos de víctimas» en los sectores de servicios públicos y equipos, hasta el punto de que «podrían haber lanzado interruptores» de una manera que podría haber causado apagones. De manera similar al ataque recientemente anunciado a la instalación de compresión de gas natural, esos compromisos también comenzaron con ataques de phishing, según Homer. Agregó que los atacantes, en ese momento, habían sido lo suficientemente sofisticados como para saltar incluso a las redes con espacios de aire .

Aunque no sabemos qué cepa de malware estuvo involucrada en el aviso de esta semana, Ars Technica señala que se produce dos semanas después de que los investigadores de la firma de ciberseguridad industrial Dragos informaron que una cepa de ransomware conocida como EKANS había alterado los sistemas de control industrial utilizados por las instalaciones de gas y Otra infraestructura crítica.

Dragos informó que EKANS, un ransomware que surgió en diciembre de 2019, es bastante sencillo, como dice el ransomware: encripta, muestra una nota de rescate. Pero más allá de eso, se ha diseñado para paralizar los sistemas de control industrial en particular. Del escrito de Dragos:

EKANS presentó una funcionalidad adicional para detener por la fuerza una serie de procesos, incluidos varios elementos relacionados con las operaciones de ICS. Si bien todas las indicaciones en la actualidad muestran un mecanismo de ataque relativamente primitivo en las redes del sistema de control, la especificidad de los procesos enumerados en una «lista de asesinatos» estática muestra un nivel de intencionalidad previamente ausente del ransomware dirigido al espacio industrial.

Por lo tanto, se recomienda encarecidamente a los propietarios y operadores de activos de ICS que revisen su superficie de ataque y determinen los mecanismos para entregar y distribuir malware disruptivo, como ransomware, con características específicas de ICS.

Eso sí, no sabemos si EKANS se utilizó en este reciente incidente en la tubería de gas natural. Lo que sí sabemos: el ransomware existe para apuntar específicamente a instalaciones de infraestructura tan importantes, y los operadores deben ser conscientes de los riesgos que conlleva.

Una vez más, el asesoramiento de CISA proporciona orientación para operadores de infraestructura crítica. Aquí hay orientación adicional para el resto de nosotros:

Cómo protegerse del ransomware

  • Elige contraseñas seguras . Y no reutilice las contraseñas, nunca.
  • Haz copias de seguridad con regularidad . Podrían ser su última línea de defensa contra una demanda de rescate de seis cifras. Asegúrate de mantenerlos fuera del sitio donde los atacantes no puedan encontrarlos.
  • Parche temprano, parche a menudo . El ransomware como WannaCry y NotPetya se basó en vulnerabilidades sin parches para extenderse por todo el mundo.
  • Bloquear RDP . Las pandillas criminales explotan las débiles credenciales de RDP para lanzar ataques de ransomware dirigidos. Desactive el Protocolo de escritorio remoto (RDP) si no lo necesita, y use la limitación de velocidad, la autenticación de dos factores (2FA) o una red privada virtual (VPN) si lo necesita.
  • Utilice protección contra ransomware . Sophos Intercept X y XG Firewall están diseñados para trabajar de la mano para combatir el ransomware y sus efectos. Las personas pueden protegerse con Sophos Home 

Fuente:nakedsecurity.sophos.com

Comments are closed.