Colonial Pipeline es el mayor oleoducto de gasolina en los EE.UU. y la interrupción de las operaciones puede afectar al suministro de gasolina, diésel y queroseno en los EE.UU.
Desde la costa del Golfo de México transporta 2,5 millones de barriles cada día, entre gasolina, diésel y queroseno hasta el Puerto de Nueva York (5.500 millas de tuberías, unos 8.849,5 Kms), aproximadamente el 45% del combustible de la Costa Este, además de algunos otros estados intermedios. En total mueve alrededor del 30% de los combustibles del país.
El pasado 7 de mayo la compañía supo que había sido víctima de un ciberataque de tipo ransomware y para evitar la propagación suspendió de forma indefinida sus operaciones, mientras contactaba con una compañía especializada en ciberseguridad para resolver el incidente. Según parece, antes de bloquear los equipos, los hackers habían robado 100 Gb de información.
El FBI culpa al grupo «DarkSide» al que ubica en Europa del Este, probablemente en Rusia. Utilizan un ransomware del mismo nombre con el que atacan empresas y organizaciones.
DarkSide es una variedad de ransomware relativamente nueva que hizo su primera aparición en agosto de 2020. DarkSide sigue el modelo RaaS (ransomware-as-a-service) y, según Hack Forums, el equipo de DarkSide anunció recientemente que DarkSide 2.0 ha sido liberado. Según el grupo, está equipado con la velocidad de cifrado más rápida del mercado e incluso incluye versiones de Windows y Linux. Básicamente el grupo ofrece sus herramientas y servicios a terceros y cobra por ello un porcentaje del rescate. Según afirman ellos mismos sus motivaciones son sólo económicas.
El ataque es doble: antes de cifrar los equipos de la víctima sustrae información comprometida que amenaza con difundir si no se abona el rescate.
Se sospecha que el ciberataque se produjo desde el lado IT (no parece que hayan equipos OT directamente afectados), quizás aprovechando alguna herramienta de acceso remoto, tan frecuentes en los últimos meses como consecuencia del teletrabajo forzoso debido a la pandemia (es lo que ocurrió en el reciente ciberataque a la planta de tratamiento de agua de Oldsmar, también en EE.UU.
Actualización 13/05
Parece que Colonial finalmente ha pagado el rescate. Así lo informa la revista ZDNet a través de Bloomberg
Colonial Pipeline paid close to $5 million in ransomware blackmail payment
Así que ya está retomando la operación:
Colonial Pipeline restarts operations brought down by ransomware
Consecuencias del incidente
El ciberataque hace temer un aumento en los precios de la gasolina y el diésel ante la festividad del Memorial Day (Día de los Caídos, que se celebra el último lunes de mayo) y el inicio de la temporada de verano, que suele suponer un mayor consumo por los desplazamientos vacacionales.
La refinería de Motiva Enterprises LLC en Port Arthur, Texas ha tenido que parar dos unidades de destilación de crudo como consecuencia del incidente en el oleoducto de Colonial.
En los primeros momentos del incidente, las refinerías del Golfo de México – propiedad de Marathon Petroleum, Valero Energy, Phillips 66 y PBF Energy– han alquilado al menos cinco petroleros para almacenar la gasolina que producen y a la que no pueden dar salida mientras dure la interrupción de operaciones del oleoducto.
TOTAL, VITOL y TRAFIGURA también contrataron petroleros para importar diésel desde Europa, un movimiento poco frecuente, ya que Europa consume más diésel del que produce.
Parece que Colonial ya tiene operativos algunos tramos menores del oleoducto, y el Presidente Joe Biden ha decretado el Estado de Emergencia, con lo que se relajan las restricciones para el transporte de los productos petrolíferos por carretera, en un intento de mitigar las consecuencias de la interrupción de las operaciones. Aún así, parece que ya están surgiendo problemas de suministro de gasolina en algunos estados, por miedo a quedarse sin combustible los conductores están haciendo acopio del mismo, lo que está empeorando los problemas de suministro y ha dejado sin existencias a varias estaciones de servicio del sureste del país.
Para saber más
Colonial Pipeline. Lo que sabemos del mayor incidente de ciberseguridad a las infraestructuras petrolíferas de Estados Unidos, artículo en LinkedIn de Fernando Sevillano.
Un ciberataque a la mayor empresa de oleoductos de Estados Unidos deja en jaque al país, que ha declarado el estado de emergencia, artículo en Xataka.
EE.UU. declara estado de emergencia tras un ciberataque a la mayor red de oleoductos del país, artículo en BBC Mundo.
La mayor red de oleoductos de Estados Unidos suspende sus operaciones tras sufrir un ciberataque, artículo en ElPais.com
¿Quiénes son DarkSide, el grupo de cibercriminales que tienen en jaque a Estados Unidos?
Colonial Pipeline cyberattack shuts down pipeline that supplies 45% of East Coast’s fuel, artículo en ZDNet y donde primero leí la noticia.
Colonial hack: How did cyber-attackers shut off pipeline?, en BBC News.
The Colonial Pipeline hack is a new extreme for ransomware, artículo en la revista Wired.
Largest U.S. pipeline shuts down operations after ransomware attack, artículo en bleepingcomputer.com
Colonial Hackers stole data thursday ahead of shutdown, artículo en Bloomberg.
Colonial Pipeline Ransomware Attack, una publicación técnica de OT-ISAC con la secuencia de eventos del incidente y algunas recomendaciones.
3 Incident response playbooks for OT, artículo de Dale Peterson en LinkedIn.
Largest U.S. refinery shuts crude units due to Colonial outage, artículo en Hydrocarbon Processing.
U.S. pipeline outage spurs refiners to book storage tankers, , artículo en Hydrocarbon Processing.
Fuel shortages worsen on sixth day of top U.S. fuel pipeline outage, artículo del 12/05/2021 en Hydrocarbon Processing.
