El presidente Biden dijo el lunes que Estados Unidos «interrumpirá y enjuiciará» a una banda de piratas informáticos llamada DarkSide, a la que el FBI culpó formalmente de un ataque masivo de ransomware que interrumpió el flujo de casi la mitad de los suministros de gas y combustible para los aviones de la costa este. .
El FBI, claramente preocupado por la propagación del esfuerzo de ransomware, emitió una alerta de emergencia a las empresas eléctricas, proveedores de gas y otros operadores de ductos que buscaban un código como el que bloquea Colonial Pipelines, una empresa privada que controla el principal gasoducto que transporta gasolina. diesel y combustible para aviones desde la costa del Golfo de Texas hasta el puerto de Nueva York.
La tubería permaneció fuera de línea por cuarto día el lunes como medida preventiva para evitar que el malware que infectaba las redes informáticas de la empresa se propagara a los sistemas de control que ejecutan la tubería. Hasta ahora, los efectos sobre la gasolina y otras fuentes de energía parecen ser mínimos, y Colonial dijo que espera que el gasoducto vuelva a funcionar a fines de esta semana.
El ataque provocó reuniones de emergencia en la Casa Blanca durante todo el fin de semana, mientras las autoridades intentaban entender si el episodio era puramente un acto criminal, con la intención de bloquear las redes informáticas de Colonial, a menos que pagara un gran rescate, era obra de Rusia o otro para afirmar que estaba utilizando al grupo criminal en secreto.
Hasta ahora, dijeron los funcionarios de inteligencia, todo indica que fue simplemente un acto de extorsión por parte del grupo, que comenzó a implementar este ransomware en agosto pasado y se cree que opera en Europa del Este, posiblemente Rusia. Hubo alguna evidencia, incluso en las propias declaraciones del grupo el lunes, que sugirió que el grupo simplemente tenía la intención de extorsionar a la compañía y se sorprendió de que terminó cortando el suministro principal de gasolina y combustible para aviones a la costa este.
El ataque expuso la notable vulnerabilidad de un importante canal de energía en los Estados Unidos, ya que los piratas informáticos se vuelven más atrevidos a atacar infraestructuras críticas, como redes eléctricas, tuberías, hospitales e instalaciones de tratamiento de agua. Los ayuntamientos de Atlanta y Nueva Orleans y, en las últimas semanas, el Departamento de Policía de Washington, DC también se han visto afectados.
La explosión de casos de ransomware fue impulsada por una mayor ciberseguridad, que ha hecho que muchas empresas y gobiernos sean objetivos maduros para las bandas criminales que creen que sus objetivos pagarán, y las criptomonedas, que dificultan el seguimiento de los pagos por extorsión.
En este caso, el ransomware no estaba dirigido a los sistemas de control del oleoducto, dijeron funcionarios federales e investigadores privados, sino a las operaciones administrativas del oleoducto Colonial. Sin embargo, el temor a mayores daños obligó a la empresa a cerrar el sistema, una medida que reveló enormes vulnerabilidades en la red parcheada que mantiene en funcionamiento las estaciones de servicio, las paradas de camiones y los aeropuertos.
Una investigación preliminar mostró malas prácticas de seguridad en el Oleoducto Colonial, según funcionarios federales y privados familiarizados con la investigación. Los fallos, dijeron, probablemente hicieron que fuera muy fácil piratear y detener los sistemas de la empresa.
Colonial Pipeline no respondió preguntas sobre qué tipo de inversión hizo para proteger sus redes y se negó a decir si estaba pagando el rescate. Y la empresa parecía reacia a permitir que las autoridades federales reforzaran sus defensas.
«Por el momento, no han pedido apoyo cibernético al gobierno federal», dijo a los periodistas Anne Neuberger, asesora adjunta de seguridad nacional para tecnología cibernética y emergente, en una conferencia de prensa en la Casa Blanca. Se negó a decir si el gobierno federal recomendaría pagar el rescate, y señaló que «las empresas a menudo se encuentran en una posición difícil si sus datos están encriptados y no tienen copias de seguridad y no pueden recuperar los datos».
Aunque la Sra. Neuberger no lo dijo, eso parece ser esencialmente lo que sucedió con Colonial.
Biden, quien se espera que anuncie una orden ejecutiva en los próximos días para fortalecer las defensas cibernéticas de Estados Unidos, dijo que no había evidencia de que el gobierno ruso estuviera detrás del ataque. Pero dijo que planea reunirse pronto con el presidente Vladimir V. Putin de Rusia (los dos hombres deben celebrar su primera cumbre el próximo mes) y sugirió que Moscú tiene cierta responsabilidad porque se cree que DarkSide tiene raíces en Rusia y el país proporciona un refugio para los ciberdelincuentes.
«Hay gobiernos que cierran los ojos o alientan afirmativamente a estos grupos, y Rusia es uno de esos países», dijo Christopher Painter, un antiguo ciberdiplomático importante de Estados Unidos. «Presionar sobre los refugios seguros para estos criminales debería ser parte de cualquier solución».
Los oleoductos coloniales alimentan grandes tanques de almacenamiento a lo largo de la costa este y los suministros parecen abundantes, en parte debido a la reducción del tráfico durante la pandemia. Colonial emitió un comunicado el lunes diciendo que su objetivo era reanudar «sustancialmente» el servicio para fines de la semana, pero la compañía advirtió que el proceso tomaría tiempo.
Elizabeth Sherwood-Randall, asesora de seguridad interna de Biden y ex subsecretaria de energía en la administración de Obama, dijo que el Departamento de Energía estaba liderando la respuesta federal y «pidió a los socios de petróleo, gas natural y electricidad que compartan detalles sobre el ataque de ransomware y discutan medidas recomendadas para mitigar otros incidentes en la industria. Señaló que el gobierno federal flexibilizó las reglas para los conductores que transportan gasolina y combustible para aviones en un camión en un esfuerzo por mitigar los efectos.
«Por el momento, no hay escasez de oferta», dijo. «Nos estamos preparando para varias posibles contingencias». Pero dijo que la tarea de volver a poner el oleoducto en línea pertenecía a Colonial.
Para muchos funcionarios que han luchado durante años para proteger la infraestructura crítica de Estados Unidos de los ataques cibernéticos, la única sorpresa sobre los eventos de los últimos días es que tardaron demasiado en ocurrir. Cuando Leon E. Panetta era secretario de Defensa del presidente Barack Obama, Panetta advirtió sobre un «Pearl Harbor cibernético» que podría cortar la energía y el combustible, una frase que se usa a menudo en un esfuerzo por lograr que el Congreso o las empresas gasten más en defensa cibernética.
Durante la administración Trump, el Departamento de Seguridad Nacional emitió advertencias sobre el malware ruso en la red eléctrica estadounidense, y Estados Unidos montó un esfuerzo no tan secreto para colocar malware en la red rusa como advertencia.
Pero en las muchas simulaciones realizadas por agencias gubernamentales y empresas eléctricas de cómo se vería un ataque contra el sector energético estadounidense, el esfuerzo se consideró generalmente como una especie de ataque terrorista, una mezcla de ataques cibernéticos y físicos, o un bombardeo de Irán. .., China o Rusia en las primeras etapas de un gran conflicto militar.
Pero este caso fue diferente: un actor criminal que, al intentar extorsionar a una empresa, terminó derribando el sistema. Un alto funcionario del gobierno de Biden lo llamó «la máxima amenaza combinada» porque era un acto criminal, del tipo al que Estados Unidos normalmente respondería con arrestos o cargos, lo que resultó en una gran amenaza para la cadena de suministro de energía del país.
Al amenazar con «desorganizar» el grupo de ransomware, Biden puede haber señalado que el gobierno estaba actuando para tomar medidas contra esos grupos, además de simplemente acusarlos. Esto es lo que hizo el Comando Cibernético de Estados Unidos el año pasado, antes de las elecciones presidenciales de noviembre, cuando sus piratas informáticos militares piratearon los sistemas de otro grupo de ransomware, llamado Trickbot, y manipularon sus servidores informáticos de comando y control para que no pudieran hacerlo. arrestar a nuevas víctimas con ransomware. El temor en ese momento era que el grupo de ransomware pudiera vender sus habilidades a los gobiernos, incluida Rusia, que buscaban congelar la tabulación electoral.
El lunes, DarkSide argumentó que no estaba operando en nombre de un estado-nación, quizás en un esfuerzo por distanciarse de Rusia.
«Somos apolíticos, no participamos de la geopolítica, no necesitamos atarnos a un gobierno definido y buscar nuestras razones», dijo en una nota publicada en su sitio web. «Nuestro objetivo es ganar dinero y no crear problemas para la sociedad».
El grupo pareció algo sorprendido de que sus acciones dieran como resultado el cierre de una gran tubería y sugirió que podría evitar tales objetivos en el futuro.
«A partir de hoy, introducimos la moderación y verificamos todas las empresas que nuestros socios quieran cifrar para evitar consecuencias sociales en el futuro», dijo el grupo, aunque no quedó claro cómo definió «moderación».
DarkSide es relativamente nuevo en la escena del ransomware, lo que la Sra. Neuberger llamó «un actor criminal» que contrata sus servicios al mejor postor y luego comparte «las ganancias con los desarrolladores de ransomware». Es esencialmente un modelo de negocio en el que algunas de las ganancias obtenidas ilegalmente se aplican a la investigación y el desarrollo de formas más efectivas de ransomware.
El grupo a menudo se presenta a sí mismo como una especie de Robin Hood digital, que roba a las empresas y dona a otras. DarkSide dice que evita piratear hospitales, funerarias y organizaciones sin fines de lucro, pero apunta a las grandes corporaciones, a veces donando sus ganancias a organizaciones benéficas. La mayoría de las organizaciones benéficas rechazaron sus ofertas de obsequios.
Una pista sobre los orígenes de DarkSide está en su código. Los investigadores privados señalan que DarkSide ransomware pide a las computadoras de las víctimas que establezcan el idioma predeterminado y, si es ruso, el grupo pasa a otras víctimas. También parece evitar a las víctimas que hablan ucraniano, georgiano y bielorruso.
Su código tiene similitudes sorprendentes con el utilizado por REvil, un grupo de ransomware que fue uno de los primeros en ofrecer «ransomware como servicio», esencialmente piratas informáticos a sueldo, para retener sistemas de ransomware como rehenes.
«Parece que esta era una rama que quería abrir negocios por sí misma», dijo Jon DiMaggio, un ex analista de la comunidad de inteligencia que ahora es el principal estratega de seguridad de Analyst1. «Para obtener acceso al código REvil, tendría que tenerlo o robarlo porque no está disponible públicamente».
DarkSide hace que los requisitos de canje sean inferiores a las sumas de ocho dígitos por las que REvil es conocido, entre $ 200,000 y $ 2 millones. Pone una clave única en cada nota de rescate, dijo DiMaggio, sugiriendo que DarkSide personaliza los ataques para cada víctima.
«Son muy selectivos en comparación con la mayoría de los grupos de ransomware», dijo.