¿Cómo actúa el grupo que atacó el Colonial Pipeline?
grupo que atacó el Oleoducto Colonial

Explicamos cómo opera el grupo que atacó Colonial Pipeline; el 13% de las víctimas eran empresas brasileñas

En los últimos días, todo el mundo ha oído hablar del grupo que atacó Colonial Pipeline, llamado DarkSide Ransomware Group. Los ataques a grandes empresas han sumado unos 90 millones de dólares en Bitcoin. Han sido al menos 47 empresas en los últimos nueve meses. En mayo fueron atacadas Colonial Pipeline y Grupo Moura, la segunda brasileña, mediante un ransomware diferente al registrado hasta ahora. Se trata de una modalidad altamente personalizable.

Ver las demás alertas de vulnerabilidad

Primeros informes de ataque del grupo que atacó Colonial Pipeline

El primer informe de un ataque de ransomware Dark Side es del 10 de agosto de 2020, y ya llevaba la información de que el ransomware era altamente personalizado, y que los lucrativos pagos, valorados en millones de dólares, procedían de grandes objetivos corporativos de los sectores financiero, tecnológico y manufacturero. Ese mismo día, el grupo lanzó el sitio web asociado DarkSide en la red Tor, que es también una plataforma que funciona como un Ransomware-As-A-Service (RaaS). Los beneficios se reparten entre los propietarios y los socios o afiliados.

¿Cómo funcionan los ataques?

Varios informes del sector sugieren que el ransomware no sólo cifra los datos de las víctimas, sino que también se propaga lateralmente por la red y roba información confidencial de las máquinas afectadas. Si las víctimas se niegan a pagar, sus datos se publican en el sitio web Tor de DarkSide y se ofrecen para su descarga.

Aunque no hay información disponible públicamente sobre el vector de infección, ya que los ataques son muy específicos, los servidores Remote Desktop Protocol (RDP ) comprometidos y los ataques de phishing personalizados son dos opciones muy plausibles.

Los primeros ataques de ransomware de DarkSide fueron todos de propietarios. Tras unos meses de éxito, las operaciones se ampliaron. El 10 de noviembre, los operadores de DarkSide anunciaron en los foros XSS y Exploit en ruso la creación de su nuevo programa de afiliados DarkSide, que proporciona a los socios una forma modificada de su ransomware DarkSide.

El grupo que atacó Colonial Pipeline, DarkSide, utiliza Salsa20 y RSA-1024 para cifrar los archivos de las víctimas en el sistema operativo Windows. También existiría una versión para Linux, aunque no hay muestras disponibles públicamente. La versión para Linux está escrita en C++ y utiliza ChaCha20 y RSA-4096 para cifrar los archivos.

MITRE ATT&CK - tácticas y técnicas

Las siguientes son las tácticas y técnicas de MITRE ATT&CK asociadas con DarkSide.

darkside ransaomware

ransomware darkside

Colonial Pipeline y Moura Group

En mayo de 2021, el grupo volvió a aparecer en los medios de comunicación tras el ataque a Colonial Pipeline, víctima de un ransomware de Darkside. La acción provocó el cierre voluntario del principal oleoducto que suministraba el 45% del combustible a la costa este de Estados Unidos. El ataque ha sido descrito como el peor ciberataque sufrido hasta la fecha por las infraestructuras críticas de Estados Unidos.

El Grupo Moura confirmó el 12 de mayo de 2021 a la web que había sufrido un ciberataque que afectó a sus servidores.

En su sitio de filtraciones en la dark web, los bandidos publicaron el logotipo del Grupo Moura y algunas informaciones sobre el ataque. Inicialmente, informaron que el ataque ocurrió el 16 de abril y que se obtuvieron datos personales de clientes, contratos, acuerdos, planos e información sobre las actividades de la empresa, en un total de 400GB de archivos. Los datos empezaron a publicarse el 20 de abril, en archivos comprimidos de 40 GB cada uno. Sólo ese día se publicaron seis lotes de 40 GB; el día 30 se publicó otro lote y el 1 de mayo otro.

El Grupo Moura envió la siguiente nota de aclaración a la prensa: "El Grupo Moura confirma que fue víctima de una ofensiva a sus servidores internos, que resultó en la divulgación de datos supuestamente atribuidos a la empresa. Estamos tomando las medidas necesarias para reforzar todos los protocolos de seguridad de la información. Los datos divulgados están siendo analizados para seguir con las medidas oportunas. A pesar del ataque, las operaciones de fabricación y distribución de la empresa no se vieron afectadas. Preguntada por el valor del rescate exigido, la empresa respondió que "informar de los valores exigidos por los delincuentes o de cualquier otra información adicional podría comprometer las investigaciones en curso"."

Mitigación

Según la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Oficina Federal de Investigación (FBI) recomiendan que los propietarios y operadores de IC (infraestructuras críticas) apliquen las siguientes mitigaciones para reducir el riesgo de compromiso por ataques de ransomware.

  • Requiere autenticación multifactor para el acceso remoto a las redes TO (Tecnología Operativa) y IT (Tecnología de la Información);
  • Active filtros antispam potentes para evitar que los correos electrónicos de phishing lleguen a los usuarios finales. Filtre los correos electrónicos que contengan archivos ejecutables para evitar que lleguen a los usuarios finales;
  • Implemente un programa de formación de usuarios y simulacros de ataques de spear phishing para disuadir a los usuarios de visitar sitios maliciosos o abrir archivos adjuntos maliciosos y refuerce las respuestas adecuadas de los usuarios a los correos electrónicos de spear phishing;
  • Filtrar el tráfico de red para prohibir las comunicaciones entrantes y salientes con direcciones IP maliciosas conocidas. Evite que los usuarios accedan a sitios web maliciosos implementando listas de bloqueo de URL y/o listas blancas;
  • Actualice oportunamente el software, incluidos los sistemas operativos, las aplicaciones y el firmware de los activos de red de TI. Considere la posibilidad de utilizar un sistema centralizado de gestión de parches; utilice una estrategia de evaluación basada en riesgos para determinar qué activos y zonas de la red de OT deben participar en el programa de gestión de parches;
  • Limitar el acceso a los recursos de las redes, especialmente restringiendo el RDP. Tras evaluar los riesgos, si el RDP se considera necesario desde el punto de vista operativo, restrinja las fuentes de origen y exija la autenticación multifactor;
  • Configurar programas antivirus / antimalware para realizar análisis periódicos de los activos de red de TI utilizando firmas actualizadas. Utilice una estrategia de inventario de activos basada en el riesgo para determinar cómo se identifican y evalúan los activos de red de TO para detectar la presencia de malware;
  • Implantar la prevención de ejecuciones no autorizadas:
    1. Desactivación de las macros de los archivos de Microsoft Office enviados por correo electrónico. Considere la posibilidad de utilizar el software Office Viewer para abrir los archivos de Microsoft Office enviados por correo electrónico en lugar de las aplicaciones completas del paquete Microsoft Office;
    2. Implementar listas blancas de aplicaciones, que sólo permiten a los sistemas ejecutar programas conocidos y permitidos por la política de seguridad. Implemente políticas de restricción de software (SRP) u otros controles para impedir que los programas se ejecuten en ubicaciones habituales del ransomware, como carpetas temporales compatibles con navegadores web populares o programas de compresión/descompresión, incluida la carpeta AppData/LocalAppData;
    3. Monitorizar y/o bloquear conexiones entrantes desde nodos Tor salientes y otros servicios de anonimato a direcciones IP y puertos para los que no se esperan conexiones externas (es decir, que no sean pasarelas VPN, puertos de correo, puertos web);
    4. Despliegue firmas para detectar y/o bloquear la conexión entrante desde servidores Cobalt Strike y otras herramientas de post-explotación.

CISA y el FBI recomiendan que los propietarios y operadores de IC apliquen ahora las siguientes medidas de mitigación para reducir el riesgo de una grave degradación empresarial o funcional en caso de que su entidad de IC sea víctima de un ataque de ransomware en el futuro:

  • Implantar y garantizar una sólida segmentación de red entre las redes de TI y OT para limitar la capacidad de los adversarios de pivotar a la red OT, incluso si la red de TI se ve comprometida. Definir una zona desmilitarizada que elimine la comunicación no regulada entre las redes de TI y OT;
  • Organizar los activos de la OT en zonas lógicas, teniendo en cuenta la criticidad, las consecuencias y la necesidad operativa. Definir conductos de comunicación aceptables entre zonas y aplicar controles de seguridad para filtrar el tráfico de red y supervisar las comunicaciones entre zonas. Prohibir que los protocolos del sistema de control industrial (ICS) atraviesen la red informática;
  • Identificar las interdependencias de las redes deOT yTI y desarrollar soluciones provisionales o controles manuales para garantizar que las redes ICS puedan aislarse si las conexiones suponen un riesgo para el funcionamiento seguro y fiable de los procesos de OT. Probar regularmente los planes de contingencia, como los controles manuales, para que las funciones críticas de seguridad puedan mantenerse durante un incidente cibernético. Garantizar que la red de la OT pueda funcionar a la capacidad requerida, incluso si la red de TI se ve comprometida;
  • Pruebe regularmente los controles manuales para que las funciones críticas puedan seguir funcionando si es necesario desconectar las redes ICS o TO;
  • Implantar procedimientos regulares de copia de seguridad de los datos en las redes de TI y OT. Los procedimientos de copia de seguridad se realizarán con frecuencia y regularidad. Los procedimientos de copia de seguridad de los datos también deberán tener en cuenta las siguientes prácticas recomendadas:
    1. Asegúrate de que las copias de seguridad se comprueban con regularidad;
    2. Almacene sus copias de seguridad por separado. Las copias de seguridad deben estar aisladas de las conexiones de red que podrían permitir la propagación del ransomware. Es importante que las copias de seguridad se mantengan fuera de línea, ya que muchas variantes de ransomware intentan encontrar y cifrar o eliminar las copias de seguridad accesibles. Mantener las copias de seguridad fuera de línea es fundamental porque si los datos de la red se cifran con ransomware, la organización puede restaurar los sistemas a su estado anterior. La práctica recomendada es almacenar las copias de seguridad en un dispositivo independiente al que no se pueda acceder desde la red, como un disco duro externo;
    3. Mantener "imágenes de oro" actualizadas periódicamente de los sistemas críticos por si fuera necesario reconstruirlos. Esto implica mantener "plantillas" de imágenes que incluyan un sistema operativo (SO) preconfigurado y aplicaciones de software asociadas que puedan desplegarse rápidamente para reconstruir un sistema, como una máquina virtual o un servidor;
    4. Conserve el hardware de reserva para reconstruir los sistemas si no es preferible reconstruir el sistema primario. El hardware más nuevo o más antiguo que el sistema principal puede presentar obstáculos de instalación o compatibilidad al reconstruir a partir de imágenes;
    5. Almacena el código fuente o los ejecutables. Es más eficiente reconstruir a partir de imágenes del sistema, pero algunas imágenes no se instalarán correctamente en hardware o plataformas diferentes; tener acceso por separado al software necesario ayudará en estos casos.
  • Garantizar que las cuentas de usuario y los procesos estén limitados mediante políticas de uso de cuentas, control de cuentas de usuario y gestión de cuentas con privilegios. Organizar los derechos de acceso basándose en los principios de mínimo privilegio y separación de funciones.

Si su organización se ve afectada por un incidente de ransomware, CISA y el FBI recomiendan las siguientes acciones:

  • Aísle el sistema infectado. Retire el sistema infectado de todas las redes y desactive la conexión inalámbrica del ordenador, Bluetooth y cualquier otra función de red potencial. Asegúrese de que todas las unidades compartidas y conectadas en red estén desconectadas, ya sea por cable o de forma inalámbrica;
  • Desconecte otros ordenadores y dispositivos. Apague y separe (es decir, retire de la red) los ordenadores infectados. Apague y separe todos los demás ordenadores o dispositivos que compartían una red con el ordenador u ordenadores infectados que no hayan sido totalmente cifrados por el ransomware. Si es posible, reúna y asegure todos los ordenadores y dispositivos infectados y potencialmente infectados en una ubicación central, asegurándose de etiquetar claramente todos los ordenadores que han sido cifrados. Apagar y separar los ordenadores infectados y los que no han sido totalmente cifrados puede permitir a los expertos recuperar los archivos parcialmente cifrados;
  • Proteja sus copias de seguridad. Asegúrate de que tus datos de copia de seguridad están desconectados y seguros. Si es posible, escanea tus datos de copia de seguridad con un programa antivirus para verificar que están libres de malware.

 

Fuentes:

https://www.flashpoint-intel.com/blog/darkside-ransomware-links-to-revil-difficult-to-dismiss/

https://www.elliptic.co/blog/darkside-ransomware-has-netted-over-90-million-in-bitcoin

https://us-cert.cisa.gov/ncas/alerts/aa21-131a

https://www.cisoadvisor.com.br/grupo-moura-e-vitima-do-ransomware-darkside/

Por Flavio Pereira Nogueirão

Etiquetas: A COLONIAL PIPELINE, ATAQUE , , , , , COMO ACTÚAN GRUPOS RANSOMWARE, COMO , COMO , COMO EL RANSOMWARE, ANSOMWARE, DEL RANSOMWARE, , , , , , QUÉ , , ,
Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.