Archivo mensual mayo 2021

Pormalwarebytes

El ataque Colonial Pipeline impulsa nuevas reglas para la infraestructura crítica

El ataque Colonial Pipeline impulsa nuevas reglas para la infraestructura crítica

El ataque Colonial Pipeline impulsa nuevas reglas para la infraestructura crítica

Al corriente: por 

Tras un devastador ciberataque al Colonial Pipeline, la Administración de Seguridad del Transporte, que forma parte del Departamento de Seguridad Nacional del gobierno, emitirá su primera directiva de ciberseguridad para las empresas de oleoductos en los Estados Unidos, según un informe exclusivo de The Washington Post .

Se espera que las directivas lleguen dentro de la semana y requerirán que las empresas de oleoductos en los EE. UU. Informen sobre cualquier ciberataque que sufran a la TSA y a la Agencia de Seguridad e Infraestructura de Ciberseguridad. Dichos ataques serán informados por «funcionarios cibernéticos» recientemente designados que serán nombrados por cada empresa de oleoductos, quienes deberán tener acceso 24 horas al día, 7 días a la semana a las agencias gubernamentales, informó The Washington Post. Las empresas que se nieguen a cumplir con las directivas se enfrentarán a sanciones.

Las regulaciones representan un cambio radical en la forma en que la TSA ha protegido la seguridad de los oleoductos en el país durante más de una década. Aunque la agencia gubernamental ha tenido durante 20 años la tarea de proteger la seguridad de los vuelos en el país, las nuevas directivas de seguridad cibernética caen dentro del ámbito de la agencia luego de una reestructuración gubernamental después de los ataques del 11 de septiembre de 2001. Más de una década después de los ataques, la agencia se basó en la colaboración voluntaria con empresas privadas de oleoductos para la protección de la ciberseguridad, ofreciendo en ocasiones realizar revisiones externas de las redes y protocolos de una empresa. A veces, informó el Washington Post, esas ofertas fueron rechazadas.

Pero después de que el grupo de ransomware Darkside atacara al proveedor de petróleo y gas de la costa este Colonial Pipeline, lo que provocó un cierre de 11 días y escasez de gas en el este de EE . UU. , Parece que el gobierno federal ya no está satisfecho con la ciberseguridad rezagada de la industria privada. protecciones. El presidente Joe Biden ya ha firmado una Orden Ejecutiva para imponer nuevas restricciones a las empresas de software que venden sus productos al gobierno federal. Según se informa, esas reglas se refinaron después del ataque Colonial Pipeline y se espera que se conviertan en una norma de la industria a medida que más empresas de tecnología compitan por incluir al gobierno como un cliente importante.

Las nuevas reglas de la TSA para las empresas de oleoductos caen en la misma tendencia.

Al hablar con The Washington Post, la portavoz del Departamento de Seguridad Nacional, Sarah Peck, dijo:

“La administración Biden está tomando más medidas para asegurar mejor la infraestructura crítica de nuestra nación. La TSA, en estrecha colaboración con [la Agencia de Seguridad de Infraestructura y Ciberseguridad], se está coordinando con las empresas del sector de tuberías para garantizar que están tomando todas las medidas necesarias para aumentar su resistencia a las amenazas cibernéticas y proteger sus sistemas «.

Aunque se espera la primera directiva de la TSA esta semana, las directivas de seguimiento podrían llegar más tarde. Se informa que esas directivas incluyen reglas más detalladas sobre cómo las empresas de oleoductos protegen sus propias redes y computadoras contra un posible ciberataque, junto con una guía sobre cómo responder a los ciberataques después de que hayan ocurrido. Además, las empresas de oleoductos se verán obligadas a evaluar su propia ciberseguridad frente a un conjunto de estándares de la industria. Estas directivas, como la que se espera esta semana, también serán obligatorias, pero una guía voluntaria esperada de la TSA será si una empresa de oleoductos debe realmente solucionar cualquier problema que encuentre en una evaluación de ciberseguridad requerida.

Las nuevas reglas llevarán a la industria de gasoductos privados a un pequeño grupo de sectores regulados de la infraestructura estadounidense, incluidas las redes de energía eléctrica a granel y las plantas nucleares. Estos sectores son los valores atípicos en la infraestructura de EE. UU., Ya que la mayoría de los componentes, incluidas las presas de agua y las plantas de aguas residuales, no tienen protecciones obligatorias de ciberseguridad.

Quedan varios obstáculos para que las reglas de la TSA sean efectivas, incluida la escasez de personal en la propia agencia. Según The Washington Post, la división de seguridad de oleoductos de la TSA tenía solo un miembro del personal en 2014 y, según el testimonio de 2019, ese número había aumentado a solo cinco. Para aliviar el problema, se espera que el Departamento de Seguridad Nacional contrate 16 empleados más en TSA y 100 empleados más en CISA.

Pormalwarebytes

Ataque de ransomware cierra el suministro de combustible de Colonial Pipeline

Ataque de ransomware cierra el suministro de combustible de Colonial Pipeline

Ataque de ransomware cierra el suministro de combustible de Colonial Pipeline

Al corriente: por 
Última actualización:

ACTUALIZACIÓN 10:47 a. M. Hora del Pacífico, 10 de mayo: a las 8:55 a. M., Hora del Pacífico, el FBI confirmó que Colonial Pipeline fue atacado por Darkside . Según una declaración publicada en Twitter, el FBI dijo:

“El FBI confirma que el ransomware Darkside es responsable del compromiso de las redes Colonial Pipeline. Seguimos trabajando con la empresa y nuestros socios gubernamentales en la investigación «.

 

 

La protección sin firma de Malwarebytes detecta todas las variantes conocidas de DarkSide.

Historia original a continuación:

El ransomware causó grandes problemas la semana pasada, ya que el famoso Colonial Pipeline fue víctima de un ciberataque devastador .

Presentando: el Oleoducto Colonial

El oleoducto existe para suministrar gasolina y otros productos en el sur y este de Estados Unidos. Estamos hablando desde Texas hasta Nueva Jersey. El oleoducto es el más grande de su tipo en los EE. UU. Y, según se informa, transporta casi la mitad del combustible consumido por la costa este.

Este es un volumen increíble de oferta y demanda, y cualquier cosa que salga mal podría ser desastrosa. Hay suficiente de qué preocuparse con accidentes más generales , sin la amenaza de que las personas entren maliciosamente en los sistemas.

Ahí es donde estamos ahora.

¿Qué sucedió?

El ransomware paralizó todo el viernes. Según quienes realizaron el análisis del ataque, es probable que los culpables sean un grupo conocido como DarkSide. Este es un grupo que saltó a la fama en 2020, a través de dudosas donaciones a organizaciones benéficas . Con todo ese ángulo de Robin Hood, robaron a las corporaciones y entregaron el dinero en efectivo a causas que sentían que lo merecían.

Bueno, lo intentaron.

Cuando la ayuda resulta ser un estorbo

Da la casualidad de que las organizaciones benéficas no quieren que un montón de dinero robado circule en sus cuentas bancarias. Los administradores de organizaciones benéficas pueden meterse en todo tipo de problemas. No solo organizaciones benéficas; cualquier organización podría terminar en una secuencia desconcertante de travesuras de lavado de dinero si no se tiene cuidado.

También hubo sospechas de que el acto del “Buen Samaritano” era una forma de encubrir el hecho de que todavía son delincuentes, robando dinero. El grupo detrás de estos ataques parecía haber captado el mensaje. La campaña de caridad de Robin Hood desapareció y nos preguntamos cuál sería el seguimiento del grupo criminal.

Si los investigadores están en lo cierto, esto es varios órdenes de magnitud más serio de lo que la gente podría haber imaginado.

 Poderes de emergencia y bloqueo

El gobierno de EE. UU. Declaró una emergencia y otorgó poderes de emergencia para garantizar que las personas aún reciban combustible. Esos poderes de emergencia permiten más flexibilidad para que los conductores transporten productos derivados del petróleo a varios lugares. Desde el texto:

La FMCSA está emitiendo una exención temporal de horas de servicio que se aplica a quienes transportan gasolina, diesel, combustible para aviones y otros productos refinados del petróleo a Alabama, Arkansas, Distrito de Columbia, Delaware, Florida, Georgia, Kentucky, Luisiana, Maryland, Mississippi, Nueva Jersey. , Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas y Virginia.

El impacto digital a físico del ataque Colonial Pipeline

Las consecuencias de este ataque en el mundo real son claras y se extienden en varias direcciones. Existen los riesgos inmediatos de transportar combustible a lo largo de 5.500 millas y de que las personas no tengan suministros. También tenemos un peligro potencial en las carreteras, ya que aumenta el uso de las carreteras y los conductores tienen que afrontar horas de conducción potencialmente más largas. Precios del combustible? Aquellos parecen haber aumentado , aunque parece que el suministro debería reducirse durante unos días para que cause un impacto significativo. 

Finalmente, está el problema del cierre en sí. ¿Cuántos sistemas están comprometidos? ¿Cuál es el daño? ¿Pueden garantizar que desaparezcan todos los rastros de infección?

Si resulta ser DarkSide, seguramente destruirá todo su ángulo de Robin Hood. Y, si se debe creer en un mensaje reciente a través de DarkTracer (el mensaje no ha sido verificado por Malwarebytes), entonces el grupo no está fingiendo esta vez: «Nuestro objetivo es ganar dinero».

Si este atacante es DarkSide, claramente no ayuda a quienes lo necesitan a eliminar sus reservas de combustible.

Vienen por sus criptomonedas … tal vez

2021 ya se perfila como un año máximo para el ransomware. Las bandas de ransomware ahora tienen años de experiencia y creación de herramientas para aprovechar, efectivo en el banco y un auge de las criptomonedas del que sacar provecho. Es difícil imaginar que se mantenga el statu quo y parece inevitable que los gobiernos respondan enérgicamente.

Antes del ataque, el Departamento de Justicia de EE. UU. Ya anunció una revisión de 120 días de su enfoque para combatir las ciberamenazas , que incluirá un análisis de cómo las criptomonedas permiten el ciberdelito. Esto se hace eco de las preocupaciones planteadas en un plan estratégico reciente para abordar el ransomware , llevado a cabo por el Grupo de trabajo sobre ransomware. Entre muchas recomendaciones, el grupo de trabajo pidió que el ransomware sea tratado como una amenaza a la seguridad nacional y una mayor regulación del sector de las criptomonedas. Un curso de colisión parece inevitable en algún momento, y ya es un tema de conversación importante para los expertos en este campo.

Sin embargo, eso es para el futuro. Por ahora, nos quedamos con las líneas de suministro tambaleándose. Unos pocos megabytes de código, tal vez un correo electrónico perdido con un archivo adjunto dudoso, o tal vez incluso una vulnerabilidad del servidor que alguien no logró parchear a tiempo.

Pequeños problemas, enormes consecuencias.