Colonial Pipeline pagó $5 millones a los ciberdelincuentes para restaurar operaciones
Tal como te lo contamos en el notihack de esta semana, el oleoducto más grande de Estados Unidos, Colonial Pipeline, cerró operaciones por un ataque de ransomware. El cierre del Oleoducto desencadenó una crisis en cascada que provocó un aumento en los precios de la gasolina y compras de pánico en las gasolineras.
Pues bien, ahora sabemos que Colonial Pipeline pagó a sus extorsionistas aproximadamente 75 Bitcoin, o casi $ 5 millones. La empresa realizó el pago para recuperar sus datos robados y para poder restaurar sus operaciones.
El pago se produjo después de que los ciberdelincuentes detuvieron la semana pasada las redes comerciales de Colonial Pipeline con ransomware. Recordemos que el ransomware una forma de malware que cifra datos hasta que la víctima pague, y amenazan con publicarlos en línea. Colonial Pipeline cerró preventivamente sus operaciones de tuberías para evitar que el ransomware se propagara. Y, porque no tenía forma de facturar a los clientes con sus redes comerciales y contables sin conexión.
El cierre de la red de la compañía, que incluyó 8,880 millas de gasoducto que suministra casi la mitad del gas, diésel y combustible para aviones a la costa este, desencadenó una crisis. La crisis generó reuniones de emergencia en la Casa Blanca, un aument en los precios de la gasolina y compras de pánico en las gasolineras. Esto obligó a algunas aerolíneas a hacer paradas de combustible en vuelos de larga distancia.
Bloomberg fue quien reportó por primera vez sobre el pago del rescate. Una portavoz de Colonial se negó a confirmar o negar que la empresa hubiera pagado un rescate.
Joe Biden
El presidente Biden también se negó a responder si Colonial Pipeline había pagado a sus extorsionadores en una conferencia de prensa el jueves. No descartó la posibilidad de que su gobierno atacara a los ciberdelincuentes, un grupo de ransomware llamado DarkSide. Esto como un ataque de represalia. Biden dijo que Estados Unidos buscaría “una medida para interrumpir su capacidad para operar”.
Jen Psaki, la secretaria de prensa de la Casa Blanca, dijo en una sesión informativa separada: “Es la recomendación del FBI no pagar rescate en estos casos”. Esto porque puede incentivar a los ciberdelincuentes a realizar más ataques. Agregó que “las entidades o empresas del sector privado van a tomar sus propias decisiones”.
DarkSide ha intentado distanciarse de la política. En una declaración en su sitio web, el grupo dijo que trata de evitar ser político. Este seguramente fue un esfuerzo para frustrar un ataque preventivo de Estados Unidos. Estados Unidos cerró un importante conducto de ransomware el año pasado para evitar un ataque en las elecciones del 2020.
Cierre de Darkside
El jueves, ocho sitios web asociados con DarkSide fueron eliminados. No quedó claro de inmediato por qué. El Comando Cibernético de Estados Unidos remitió las preguntas al Consejo de Seguridad Nacional, que se negó a comentar.
Colonial ha tardado varios días en volver a poner en funcionamiento su oleoducto, un proceso que los funcionarios dijeron que llevaría tiempo. Biden alentó a los estadounidenses a no entrar en pánico por la compra de gas. Además, advirtió a las compañías de gas que se abstuvieran de aumentar los precios.
“Esto no es como encender un interruptor de luz”, dijo, y señaló que Colonial pipeline nunca antes se había cerrado.
Colonial no ha compartido muchos detalles sobre el incidente o por qué fue necesario cerrar el oleoducto. Quizás lo hicieron para que otros operadores no secuestraran de sus operaciones comerciales. Los expertos en ciberseguridad han dicho que el ataque y sus consecuencias demostraron una falta de resiliencia y planificación cibernéticas.
Kim Zetter, periodista de ciberseguridad, reportó por primera vez que Colonial había cerrado su tubería. Cerró en parte porque sus sistemas de facturación se desconectaron y no tenía forma de cobrar a los clientes.
Muchas organizaciones en los Estados Unidos, incluidos los departamentos de policía, han optado por pagar a sus extorsionistas de ransomware. Esto en lugar de sufrir la pérdida de datos críticos o incurrir en los costos de reconstrucción de sistemas informáticos desde cero.
Otros ataques
Esta semana ocurrió otro ataque de ransomware contra el Departamento de Policía Metropolitana de Washington, DC. En ese ataque los ciberdelincuentes dijeron que el precio que la policía ofreció pagar era “demasiado pequeño” y filtraron 250 gigabytes de datos del departamento esta semana. Los datos incluían bases de datos que rastrean a miembros de pandillas y solicitudes de preservación de redes sociales.
“Este es un indicador de por qué deberíamos pagar”, dijeron los ciberdelincuentes, llamados Babuk, en una publicación en línea. “La policía quería pagarnos, pero la cantidad resultó ser demasiado pequeña. Mira este muro de la vergüenza”, escribieron, “tienes todas las posibilidades de no llegar allí. ¡Solo páganos!”