El ransomware, aunque alarmante, aterrador y costoso, suele desarrollarse como un suceso sin incidentes. En tales casos, una empresa experimenta el cifrado de archivos, y debe decidir entre pagar el rescate o restaurar los archivos desde la copia de seguridad antes de seguir adelante. Sin embargo, hay ocasiones en que un ataque de ransomware desata oleadas destructivas e impacta a millones de personas en todo el mundo. El ataque de ransomware de 2021 a Colonial Pipeline es un buen ejemplo de un suceso catastrófico de este tipo.
Antecedentes
Colonial Pipeline es el mayor oleoducto de gasolina, combustible de aviación y gasóleo de calefacción doméstico de Estados Unidos. El oleoducto, que suministra productos petrolíferos refinados a la mayor parte del sureste de Estados Unidos, se origina en Houston (Texas) y termina en los puertos vitales de Nueva York y Nueva Jersey. Sirve como fuente crucial de combustible para reactores para importantes centros de transporte como Atlanta, Nashville, Raleigh-Durham, Dulles y Filadelfia, y desempeña un papel fundamental en el suministro de la mayor parte de la gasolina comercial a Washington DC, Georgia, Pensilvania, Virginia, Maryland, Nueva Jersey, Tennessee, Carolina del Norte, Carolina del Sur y Alabama.
En 2020, se produjo una importante brecha en SolarWinds, proveedor de software de supervisión de redes para el gobierno estadounidense. Provocó uno de los actos de ciberespionaje más graves de la historia de Estados Unidos. Esta brecha comprometió datos de importantes instituciones, como la OTAN, el gobierno del Reino Unido, el Parlamento Europeo, el poder ejecutivo estadounidense, Microsoft y varios organismos gubernamentales.
Aumentó la preocupación por la posibilidad de que los ciberdelincuentes atacaran infraestructuras críticas, sentando las bases para el ataque al oleoducto Colonial.
El ataque
Los ciberdelincuentes suelen obtener acceso no autorizado a empresas y se dedican a compartir o vender información robada en la Dark Web, un centro online de actividades y herramientas ilegales. En el caso de Colonial Pipeline, estos delincuentes descubrieron con éxito el nombre de usuario y la contraseña de una cuenta VPN activa pero no utilizada, lo que les permitió infiltrarse en la red. Posteriormente, pusieron estas credenciales a la venta en la Dark Web, donde DarkSide, una banda de ciberdelincuentes de Europa del Este especializada en ataques de ransomware, acabó adquiriéndolas.
Utilizando las credenciales obtenidas, DarkSide atacó específicamente los sistemas de facturación de Colonial Pipeline, encriptando eficazmente sus archivos y haciéndolos inaccesibles. Para contener la propagación del ataque, Colonial Pipeline tomó la decisión de suspender las operaciones en toda su red de oleoductos. Al día siguiente, pagaron un rescate de 4,4 millones de dólares en Bitcoin a DarkSide, a cambio de una herramienta de descifrado para desbloquear sus archivos y reanudar las operaciones. Por desgracia, debido al amplio alcance y la rápida propagación del ataque inicial del ransomware, el proceso de descifrado resultó lento e ineficaz.
En consecuencia, la tubería se cerró durante seis días.
El impacto
Tres días después del ataque, el presidente Joe Biden declaró el Estado de Emergencia. Este acto, combinado con los ominosos informes de las noticias, sobre la posible escasez de gasolina, provocó compras de pánico, lo que se tradujo en un frenesí de individuos que corrían a las gasolineras, ansiosos por llenar el depósito no sólo de sus vehículos, sino también de recipientes no convencionales, como cubos de basura, contenedores de almacenamiento e incluso bolsas de plástico de supermercado. El impacto fue especialmente significativo en Washington D.C., donde un asombroso 87% de las gasolineras se quedaron completamente sin reservas de combustible. En otros lugares del sureste, muchos vuelos internacionales se vieron obligados a cambiar de rumbo o a hacer paradas adicionales para repostar debido a la escasez de combustible para aviones en los principales centros de transporte.
Las escenas presenciadas a lo largo de la semana parecían sacadas de películas de catástrofes, ya que las gasolineras mostraban de forma prominente carteles de cartón que proclamaban «sin gasolina». Largas colas de vehículos se extendían a lo largo de kilómetros, alejándose de las estaciones de servicio, mientras miles de personas intentaban desesperadamente asegurarse las percibidas, aunque inexactas, últimas gotas de gasolina en Estados Unidos. La gente recurrió a llevar bolsas de basura llenas de gasolina colgadas del hombro, y los tablones de llegadas de los aeropuertos se llenaron de innumerables filas de avisos de «retrasado» o «cancelado», que mostraban la gran interrupción de los vuelos que se dirigían al sureste.
Todos estos acontecimientos extraordinarios se produjeron debido a una única cuenta VPN que el equipo informático de Colonial Pipeline no desactivó.
Las secuelas
El ataque puso de manifiesto la falta de preparación de las organizaciones que se enfrentan a amenazas de ransomware. Desde 2021, las empresas han implementado sofisticadas herramientas de detección y planes de recuperación, reconociendo la inevitabilidad de los incidentes de ransomware.
Un punto clave son las sólidas soluciones de copia de seguridad y archivado para salvaguardar los datos y restaurarlos rápidamente. Nexsan ofrece soluciones avanzadas de almacenamiento y protección de datos para reforzar las defensas de ciberseguridad. Al aprovechar las tecnologías de Nexsan, las organizaciones pueden reducir el impacto del ransomware y mejorar la resistencia frente a las amenazas en evolución.
Conclusión
Nexsan refuerza las defensas de ciberseguridad y mitiga los riesgos de ransomware para las organizaciones. Nuestras avanzadas soluciones de almacenamiento y protección de datos proporcionan sólidas capacidades de copia de seguridad y archivado, salvaguardando los datos críticos y permitiendo una rápida restauración. Al aprovechar
El contenido detallado solo está disponible en inglés.