Imagen: Trend Micro – 2021
En días pasados un oleoducto, responsable de casi la mitad del
suministro de combustible para la costa este de EE. UU., tuvo que cerrar sus
operaciones ante un ataque de ransomware del que fue blanco. Las tiendas de
gasolina, diesel, aceite para calefacción, combustible para aviones y
suministros militares se vieron gravemente afectadas, y la Administración
Federal de Seguridad de Autotransportistas (FMCSA) declaró el estado de
emergencia en 18 estados para hacerle frente a la escasez.
El FBI ha confirmado que DarkSide es un grupo de ciberdelincuentes que
se originó en Europa del Este y estaría detrás del ataque; el ransomware
utilizado pertenece a una familia relativamente nueva, detectada por primera
vez en agosto de 2020.
Además de bloquear todos los sistemas informáticos de la petrolera,
DarkSide también robó más de 100 GB de datos corporativos. Este robo de datos
es aún más relevante a la luz del hecho de que el grupo tiene un historial de
extorsionar doblemente a sus víctimas, no solo pidiendo dinero para desbloquear
las computadoras afectadas, y exigiendo el pago por los datos capturados, sino
también amenazando con filtrar los datos robados.
El grupo anunció el 12 de mayo que tenía tres víctimas más: una empresa
de construcción con sede en Escocia, un revendedor de productos de energía
renovable en Brasil y una empresa de tecnología de en los EE.UU. Los actores de
DarkSide afirmaron haber robado un total de 1,9 GB de datos de estas empresas,
incluida información confidencial como datos de clientes, datos financieros,
pasaportes de empleados y contratos.
Dado que DarkSide es un ransomware-as-a-service (RaaS), es posible que
tres grupos de afiliados diferentes estén detrás de estos tres ataques. Incluso
los propios actores de DarkSide admiten que simplemente compran el acceso a las
redes de la empresa.
Objetivos de ransomware DarkSide
Sobre la base de los sitios de filtración, DarkSide determina si debe
perseguir una posible organización víctima, al observar principalmente los
registros financieros. También utiliza esta información para determinar la
cantidad de rescate a exigir, con una demanda de rescate típica que asciende a
entre US$200.000 y US$2 millones.
Los informes dicen que, según los sitios de filtración, hay al menos 90
víctimas afectadas por DarkSide. En total, más de 2 TB de datos robados se
alojan actualmente en los sitios de DarkSide y se filtra el 100% de los
archivos robados de las víctimas.
Los actores detrás de Darkside han declarado que evitan apuntar a
empresas en ciertas industrias, incluida la atención médica, la educación, el
sector público y las ONG’s. Identifican como blancos a las fábricas, compañías
del sector financiero, e infraestructura de misión crítica.
Según los datos de Trend Micro, EE. UU. es el país objetivo de DarkSide
con más de 500 detecciones, seguido de Francia, Bélgica y Canadá.
Después del ataque a Colonial Pipeline, DarkSide emitió un comunicado
en uno de sus sitios de filtraciones, aclarando que el grupo no deseaba crear
problemas para la sociedad y que su objetivo era simplemente ganar dinero. El
ransomware es una amenaza ya conocida, pero en constante evolución. Como lo
demuestran las actividades recientes de DarkSide, el ransomware moderno ha
cambiado en muchos aspectos: objetivos más grandes, técnicas de extorsión más
avanzadas y consecuencias de mayor alcance más allá de las propias víctimas.
“Quienes llevan a cabo ataques ransomware a las empresas- de cualquier
tamaño-, no buscan simplemente bloquear los datos contenidos en los
computadores de los usuarios para pedir un rescate, sino que buscan profundizar
a lo largo y ancho de las redes de la organización, ampliando el impacto del
ataque y logrando así nuevas formas de monetizar el robo de información. Si bien los datos empresariales comprometidos
son bien pagados en los mercados clandestinos, ahora el blanco de los ataques
son los servidores empresariales, desde donde no solamente pueden llegar a los
datos como tal sino a impactar la operación del negocio en sí. Las
organizaciones hoy más que nunca deben tener un plan preventivo y de respuesta
ante incidentes basados en ataques tipo ransomware, educar a los usuarios,
diseñar políticas y protocolos, y apoyarse con tecnología de punta anti-malware
en todos los frentes” menciona Ignacio Triana, gerente de Tecnología para MCA
en Trend Micro.
Desafortunadamente, algunas organizaciones pueden estar poniendo la
ciberseguridad en un segundo plano. Por ejemplo, algunos expertos en seguridad
señalaron que Colonial Pipeline estaba utilizando una versión vulnerable de
Microsoft Exchange previamente explotada, entre otros fallos de ciberseguridad.
Un ataque exitoso a una empresa que brinda servicios críticos tendrá efectos en
cadena que dañarán a múltiples sectores de la sociedad, por lo que proteger
estos servicios debe ser una prioridad absoluta.
0 Comentarios