Hace unos días, abordamos en el blog el anuncio de la Casa Blanca para desarrollar un plan para la protección de redes eléctricas. La Administración Biden ponía de manifiesto que era necesaria una mayor inversión e incentivos para que las compañías protegiesen sus infraestructuras críticas ante las crecientes amenazas de grupos de ciberatacantes.

Ahora, los hechos han demostrado que estos temores eran ciertos: el pasado 7 de mayo, el oleoducto Colonial, que transporta petróleo desde Texas hasta al Sureste de EEUU a lo largo de 5500 km, sufrió el mayor ciberataque contra una infraestructura petrolera que había sucedido en el país. Los ciberataques introdujeron en los sistemas de la compañía un ransomware con el que al parecer robaron y bloquearon 100GB de datos.

Como consecuencia del incidente, la compañía se vio obligada a interrumpir temporalmente el suministro del oleoducto. Esto causó carencias de combustible en algunas áreas dependientes que afectaron al funcionamiento de varias compañías de transporte, como el Aeropuerto Internacional de Charlotte-Douglas en Carolina del Norte, cuyos vuelos sufrieron varios retrasos. Por eso, para prevenir un mayor impacto, el presidente Biden tuvo incluso que declarar el Estado de Emergencia en la zona.  

Darkside: detrás del ransomware _

El FBI confirmó días después que el grupo Darkside está detrás del ciberataque. Los analistas de ciberseguridad indicaron que aunque es un grupo relativamente nuevo, cuenta con bastante experiencia en actividades de ransomware.

Por otro lado, Biden señaló a Rusia como país de origen y aunque descartó que el gobierno ruso esté directamente implicado, sí le pidió “que tome cartas en el asunto”. De hecho, EEUU ahora quiere impulsar una normativa internacional: como explicamos anteriormente, los estados se encuentran en muchas ocasiones con dificultades diplomáticas y legales para dar una respuesta adecuada ante estos grupos, por su carácter híbrido. El Presidente lo expuso así:

“Estamos trabajando para alcanzar una especie de norma internacional, en el caso de que un Gobierno tenga noticias de que una actividad criminal está ocurriendo en su territorio. Todos tenemos que actuar contra esas empresas criminales. Es uno de los temas que hablaré con el presidente Putin”.

Proactividad y soluciones avanzadas imprescindibles_

Como se trató de un ciberataque de ransomware, en principio los ciberatacantes no tenían como objetivo directo tomar el control de los sistemas OT (a diferencia del incidente en la planta de agua de Oldsmar en Florida) pero en la práctica, la operatividad se vio igualmente afectada, ya que la compañía tomó la decisión de interrumpir su actividad.

Esa decisión está siendo objeto de debate entre la comunidad de ciberseguridad, tal y como recoge un artículo de Security Boulevard: algunos analistas la alaban argumentando que eso demuestra que Colonial es consciente de los riesgos que suponía operar bajo el ransomware en sus sistemas, mientras que otros denuncian que precisamente la compañía fue negligente al no contar con suficientes medidas de ciberseguridad para proteger su infraestructura crítica.  

En cualquier caso, la mayoría coinciden en que es necesaria una mayor concienciación por parte de las entidades públicas y privadas de que estas amenazas para las infraestructuras públicas son cada vez más frecuentes y peligrosas. También señalan que es necesaria una inversión en profesionales y soluciones avanzadas de ciberseguridad.

En este sentido, Cytomic Covalent cubre esas necesidades de los SOC de las organizaciones con infraestructuras críticas: combina todas las capacidades de prevención en el Endpoint de Cytomic EDPR con las funcionalidades de Threat Hunting de Cytomic Orion para acelerar la búsqueda de posibles amenazas y la respuesta a incidentes de manera proactiva. Así, las compañías como Colonial y los estados que dependen de ellas tendrán menos posibilidades de pasar por estos sucesos.