Qué se sabe de DarkSide, la banda de cibercriminales rusos detrás del ataque a uno de los grandes oleoductos de EEUU

El intento de extorsión cibernética que obligó al cierre de un oleoducto vital en Estados Unidos fue llevado a cabo por una banda criminal conocida como DarkSide, que cultiva una imagen de Robin Hood de robar a las corporaciones y dar una parte a la caridad, dijeron el domingo dos personas cercanas a la investigación. Una variante con respecto al perfil habitual en este tipo de hackers, que suelen trabajar con apoyo no reconocido del estado ruso, es que se trataría de un grupo sin motivación más allá de la extorsión para conseguir recursos económicos de aquellos afectados por sus ataques. Mientras tanto, el cierre se prolongó hasta su tercer día, con la administración de Biden flexibilizando las regulaciones para el transporte de productos petrolíferos en las carreteras como parte de un esfuerzo para evitar interrupciones en el suministro de combustible. Los expertos dijeron que es poco probable que los precios de la gasolina se vean afectados si el gasoducto vuelve a la normalidad en los próximos días, pero que el incidente, el peor ciberataque hasta la fecha a la infraestructura crítica de EEUU, debería servir como un llamado de atención a las empresas sobre las vulnerabilidades que enfrentan. El oleoducto, operado por Colonial Pipeline, con sede en Georgia, transporta gasolina y otros combustibles desde Texas hasta el noreste. Entrega aproximadamente el 45% del combustible consumido en la costa este, según la compañía. Fue golpeado por lo que Colonial llamó un ataque de ransomware, en el que los piratas informáticos generalmente bloquean los sistemas informáticos encriptando datos, paralizando las redes y luego exigen un gran rescate para descifrarlos. El domingo, Colonial Pipeline dijo que estaba activamente en el proceso de restaurar algunos de sus sistemas. Y agregó que permanece en contacto con las fuerzas del orden y otras agencias federales, incluido el Departamento de Energía, que lidera la respuesta del gobierno federal. La empresa no ha dicho qué se exigió ni quién hizo la demanda. Sin embargo, dos personas cercanas a la investigación, que hablaron bajo condición de anonimato, identificaron al culpable como DarkSide. Estas es una de las bandas más especializadas, sus ataques le han costado a las naciones occidentales decenas de miles de millones de dólares en pérdidas en los últimos tres años. DarkSide afirma que no ataca hospitales y hogares de ancianos, objetivos educativos o gubernamentales y que dona una parte de su dinero a organizaciones benéficas. Ha estado activo desde agosto y, típico de las bandas de ransomware más potentes, se sabe que evita atacar organizaciones en países del antiguo bloque soviético. Colonial no dijo si había pagado o estaba negociando un rescate, y DarkSide no anunció el ataque en su sitio web oscuro ni respondió a las preguntas de un reportero de Associated Press. La falta de reconocimiento generalmente indica que la víctima está negociando o ha pagado. El domingo, Colonial Pipeline dijo que está desarrollando un plan de “reinicio del sistema”. Y agregó que su tubería principal permanece fuera de servicio, pero algunas líneas más pequeñas ahora están operativas. “Estamos en el proceso de restaurar el servicio a otros laterales y pondremos nuestro sistema completo nuevamente en línea solo cuando creamos que es seguro hacerlo y en total cumplimiento con la aprobación de todas las regulaciones federales”, dijo la compañía en un comunicado. . La secretaria de Comercio, Gina Raimondo, dijo el domingo que los ataques de ransomware son “una de las mayores preocupaciones de las empresas hoy en día” y que trabajará “muy enérgicamente” con el Departamento de Seguridad Nacional para abordar el problema, calificándolo de máxima prioridad para la administración. “Desafortunadamente, este tipo de ataques se están volviendo más frecuentes”, dijo en Face the Nation de CBS. “Tenemos que trabajar en asociación con las empresas para proteger las redes y defendernos de estos ataques”. Por su parte, el Departamento de Transporte emitió una declaración de emergencia regional el domingo, relajando las regulaciones de horas de servicio para los conductores que transportan gasolina, diesel, combustible para aviones y otros productos refinados del petróleo en 17 estados y el Distrito de Columbia. Les permite trabajar horas adicionales o más flexibles para compensar cualquier escasez de combustible relacionada con la interrupción de la tubería. Una de las personas cercanas a la investigación de Colonial dijo que los atacantes también robaron datos de la empresa, presuntamente con fines de extorsión. A veces, los datos robados son más valiosos para los delincuentes de ransomware que el apalancamiento que obtienen al paralizar una red, porque algunas víctimas son reacias a ver información confidencial suya descargada en línea. Los expertos en seguridad dijeron que el ataque debería ser una advertencia para los operadores de infraestructura crítica, incluidas las empresas de servicios eléctricos y de agua y las empresas de energía y transporte, de que no invertir en actualizar su seguridad los pone en riesgo de catástrofe. Ed Amoroso, director ejecutivo de TAG Cyber, dijo que Colonial tuvo suerte de que su atacante estuviera al menos aparentemente motivado solo por las ganancias, no por la geopolítica. Los piratas informáticos respaldados por el estado empeñados en una destrucción más grave utilizan los mismos métodos de intrusión que las bandas de ransomware. “Para las empresas vulnerables al ransomware, es una mala señal porque probablemente sean más vulnerables a ataques más graves”, dijo. Los cibercriminales rusos, por ejemplo, paralizaron la red eléctrica en Ucrania durante los inviernos de 2015 y 2016. Los intentos de ciberextorsión en los EEUU han crecido durante el último año, con ataques que obligaron a retrasar el tratamiento del cáncer en los hospitales, interrumpieron la escolarización y paralizaron a la policía y los gobiernos de las ciudades. Tulsa, Oklahoma, se convirtió uno de los tantas ciudades en ser víctimas de un ataque de ransomware, dijo Brett Callow, analista de amenazas de la firma de ciberseguridad Emsisoft. Los rescates promedio pagados en los EEUU aumentaron casi tres veces a más de 310,000 dólares el año pasado. El tiempo de inactividad promedio para las víctimas de ataques de ransomware es de 21 días, según la firma Coveware, que ayuda a las víctimas a responder. David Kennedy, fundador y consultor principal de seguridad de TrustedSec, dijo que una vez que se descubre un ataque de ransomware, las empresas tienen pocos recursos más que reconstruir completamente su infraestructura o pagar el rescate. “El ransomware está absolutamente fuera de control y es una de las mayores amenazas que enfrentamos como nación”, dijo Kennedy. “El problema al que nos enfrentamos es que la mayoría de las empresas no están muy preparadas para hacer frente a estas amenazas”. Colonial transporta gasolina, diésel, combustible para aviones y para calefacción desde las refinerías de la Costa del Golfo a través de oleoductos que van de Texas a Nueva Jersey. Su sistema de tuberías se extiende por más de 8.850 kilómetros y transporta más de 100 millones de galones al día. Debnil Chowdhury, de la firma de investigación IHSMarkit, dijo que si la interrupción se extiende a una o tres semanas, los precios de la gasolina podrían comenzar a subir. “No me sorprendería, si esto termina siendo una interrupción de esa magnitud, si vemos un aumento de 15 a 20 centavos en los precios de la gasolina durante la próxima semana o dos”, dijo. El Departamento de Justicia tiene un nuevo grupo de trabajo dedicado a contrarrestar los ataques de ransomware. Si bien Estados Unidos no ha sufrido ningún ciberataque grave en su infraestructura crítica, los funcionarios dicen que se sabe que los piratas informáticos rusos en particular se han infiltrado en algunos sectores cruciales, posicionándose para causar daños si estallara un conflicto armado. Si bien no hay evidencia de que el Kremlin se beneficie financieramente del ransomware, los funcionarios estadounidenses creen que el presidente Vladimir Putin disfruta del caos que causa en las economías de los adversarios. Los piratas informáticos iraníes también han sido agresivos al tratar de obtener acceso a servicios públicos, fábricas e instalaciones de petróleo y gas. En un caso en 2013, irrumpieron en el sistema de control de una represa en EEUU.