CIBERATAQUE PARALIZA OLEODUCTO EN EEUU

CIBERATAQUE PARALIZA OLEODUCTO EN EEUU

Colonial Pipeline es el mayor oleoducto de gasolina en los EE.UU. y la interrupción de las operaciones puede afectar al suministro de gasolina, diésel y queroseno en los EE.UU.

Desde la costa del Golfo de México transporta 2,5 millones de barriles cada día, entre gasolina, diésel y queroseno hasta el Puerto de Nueva York (5.500 millas de tuberías, unos 8.849,5 Kms), aproximadamente el 45% del combustible de la Costa Este, además de algunos otros estados intermedios. En total mueve alrededor del 30% de los combustibles del país.

colonial-pipeline-system-map.jpg

El pasado 7 de mayo la compañía supo que había sido víctima de un ciberataque de tipo ransomware y para evitar la propagación suspendió de forma indefinida sus operaciones, mientras contactaba con una compañía especializada en ciberseguridad para resolver el incidente. Según parece, antes de bloquear los equipos, los hackers habían robado 100 Gb de información.

El FBI culpa al grupo «DarkSide» al que ubica en Europa del Este, probablemente en Rusia. Utilizan un ransomware del mismo nombre con el que atacan empresas y organizaciones.

FBI tweet
Confirmación en la cuenta de Twiter del FBI: El grupo DarkSide anda detrás del ciberataque al oleoducto de Colonial

DarkSide es una variedad de ransomware relativamente nueva que hizo su primera aparición en agosto de 2020. DarkSide sigue el modelo RaaS (ransomware-as-a-service) y, según Hack Forums, el equipo de DarkSide anunció recientemente que DarkSide 2.0 ha sido liberado. Según el grupo, está equipado con la velocidad de cifrado más rápida del mercado e incluso incluye versiones de Windows y Linux. Básicamente el grupo ofrece sus herramientas y servicios a terceros y cobra por ello un porcentaje del rescate. Según afirman ellos mismos sus motivaciones son sólo económicas.

El ataque es doble: antes de cifrar los equipos de la víctima sustrae información comprometida que amenaza con difundir si no se abona el rescate.

Se sospecha que el ciberataque se produjo desde el lado IT (no parece que hayan equipos OT directamente afectados), quizás aprovechando alguna herramienta de acceso remoto, tan frecuentes en los últimos meses como consecuencia del teletrabajo forzoso debido a la pandemia (es lo que ocurrió en el reciente ciberataque a la planta de tratamiento de agua de Oldsmar, también en EE.UU.

Actualización 13/05

Parece que Colonial finalmente ha pagado el rescate. Así lo informa la revista ZDNet a través de Bloomberg

Colonial Pipeline paid close to $5 million in ransomware blackmail payment

Así que ya está retomando la operación:

Colonial Pipeline restarts operations brought down by ransomware

Consecuencias del incidente

El ciberataque hace temer un aumento en los precios de la gasolina y el diésel ante la festividad del Memorial Day (Día de los Caídos, que se celebra el último lunes de mayo) y el inicio de la temporada de verano, que suele suponer un mayor consumo por los desplazamientos vacacionales.

La refinería de Motiva Enterprises LLC en Port Arthur, Texas ha tenido que parar dos unidades de destilación de crudo como consecuencia del incidente en el oleoducto de Colonial.

En los primeros momentos del incidente, las refinerías del Golfo de México – propiedad de Marathon Petroleum, Valero Energy, Phillips 66 y PBF Energy– han alquilado al menos cinco petroleros para almacenar la gasolina que producen y a la que no pueden dar salida mientras dure la interrupción de operaciones del oleoducto.

TOTAL, VITOL y TRAFIGURA también contrataron petroleros para importar diésel desde Europa, un movimiento poco frecuente, ya que Europa consume más diésel del que produce.

Parece que Colonial ya tiene operativos algunos tramos menores del oleoducto, y el Presidente Joe Biden ha decretado el Estado de Emergencia, con lo que se relajan las restricciones para el transporte de los productos petrolíferos por carretera, en un intento de mitigar las consecuencias de la interrupción de las operaciones. Aún así, parece que ya están surgiendo problemas de suministro de gasolina en algunos estados, por miedo a quedarse sin combustible los conductores están haciendo acopio del mismo, lo que está empeorando los problemas de suministro y ha dejado sin existencias a varias estaciones de servicio del sureste del país.

Para saber más

07/06 Shining a Light on DARKSIDE Ransomware Operations, un artículo en el blog de la firma de ciberseguridad FIREEYE donde dan muchos detalles acerca del modus operandi del grupo DarkSide.

Colonial Pipeline. Lo que sabemos del mayor incidente de ciberseguridad a las infraestructuras petrolíferas de Estados Unidos, artículo en LinkedIn de Fernando Sevillano.

Un ciberataque a la mayor empresa de oleoductos de Estados Unidos deja en jaque al país, que ha declarado el estado de emergencia, artículo en Xataka.

EE.UU. declara estado de emergencia tras un ciberataque a la mayor red de oleoductos del país, artículo en BBC Mundo.

La mayor red de oleoductos de Estados Unidos suspende sus operaciones tras sufrir un ciberataque, artículo en ElPais.com

¿Quiénes son DarkSide, el grupo de cibercriminales que tienen en jaque a Estados Unidos?

Interesante charla en la que se ve cómo los ataques dirigidos a equipos IT pueden afectar a las operaciones, como un ataque a los equipos OT

Colonial Pipeline cyberattack shuts down pipeline that supplies 45% of East Coast’s fuel, artículo en ZDNet y donde primero leí la noticia.

Colonial hack: How did cyber-attackers shut off pipeline?, en BBC News.

The Colonial Pipeline hack is a new extreme for ransomware, artículo en la revista Wired.

Largest U.S. pipeline shuts down operations after ransomware attack, artículo en bleepingcomputer.com

Colonial Hackers stole data thursday ahead of shutdown, artículo en Bloomberg.

Colonial Pipeline Ransomware Attack, una publicación técnica de OT-ISAC con la secuencia de eventos del incidente y algunas recomendaciones.

3 Incident response playbooks for OT, artículo de Dale Peterson en LinkedIn.

Largest U.S. refinery shuts crude units due to Colonial outage, artículo en Hydrocarbon Processing.

U.S. pipeline outage spurs refiners to book storage tankers, , artículo en Hydrocarbon Processing.

Fuel shortages worsen on sixth day of top U.S. fuel pipeline outage, artículo del 12/05/2021 en Hydrocarbon Processing.

What we know about the DarkSide ransomware and the US pipeline attack, artículo en el blog de la empresa TREND MICRO (principalmente conocida por su antivirus) donde detalla las características del ciberataque.

Colonial Pipeline confirms it paid $4.4m ransom to hacker gang after attack, noticia en el periódico The Guardian donde Colonial Pipeline confirma que finalmente pagaron el rescate exigido por el grupo de hackers DarkSide.

Colonial Pipeline tries to determine how DarkSide breached its network while interest in prevention spikes, noticia en CNN.

Gasoline Shortages Still Lingering Post-Colonial Pipeline Hack, artículo en la revista OILPRICE.COM

Colonial Pipeline Ransomware Attack: Revealing How DarkSide Works, artículo en la revista AUTOMATION.COM

ENLACES RELACIONADOS AQUÍ EN MYTIPS

Víctor D. Parra

Deja una respuesta