Diario de un ataque de ransomware: los entresijos del incidente de Colonial Pipeline

Octubre 8 2021
Kaseya
ransomware

El ransomware es un golpe devastador para cualquier organización. El daño financiero es lo primero que viene a la mente, pero otros aspectos del incidente pueden ser igual de malos o incluso peores. La interrupción de un solo ataque de ransomware se extiende a toda la operación y crea un efecto dominó que puede tener consecuencias de largo alcance. El incidente de ransomware de Colonial Pipeline en mayo de 2021 es un buen ejemplo de cómo se produce ese efecto dominó.   

Las empresas afectadas por el ransomware pierden una media estimada de seis días laborables, y el 37% de ellas experimentan periodos de inactividad de una semana o más. Eso es algo que nadie puede permitirse, especialmente ahora que los presupuestos están muy ajustados en una economía incierta. La interrupción en Colonial Pipeline no sólo afectó a su productividad, sino también a la vida cotidiana de muchos estadounidenses, poniendo de relieve el peligro de los ciberataques contra objetivos de infraestructuras o servicios críticos. La mayoría de los ataques de ransomware son operaciones complejas y oscuras, y los detalles exactos rara vez salen a la luz. Sin embargo, el incidente del ransomware de Colonial Pipeline ha sido ampliamente investigado y difundido, lo que proporciona una visión poco habitual de cómo se desarrolla un ataque de ransomware. 

5 datos sobre el ransomware frente a las empresas que debes recordar 

La historia del incidente del oleoducto Colonial

Configuración de la operación 

La banda de ransomwareDarkSidese hizo famosa por llevar a cabo un ataque exitoso contra Colonial Pipeline, con el que obtuvo un botín estimado en algo más de 4 millones de dólares. Sin embargo, esa operación no fue dirigida directamente por los desarrolladores y operadores de DarkSide. En realidad, el ataque a Colonial Pipeline fue llevado a cabo por un afiliado de la operación principal utilizando el malware propio de DarkSide.  Esa filial contrató a sus propios subcontratistas a través deforos de la dark weby reunió recursos de mercados de datos y volcados de la dark web para llevar a cabo la acción. 

Entonces, la banda de los satélites tendió su trampa y atrapó a Colonial Pipeline en un ataque devastador que paralizó el mayor oleoducto de combustible de Estados Unidos. El punto de entrada de la banda fue una única contraseña de un empleado que había sido comprometida y que les dio las llaves del reino. Utilizando esa contraseña robada, el afiliado de DarkSide se coló dentro de la seguridad digital de Colonial Pipeline —reconocidamente laxa— y descargó su carga, el ransomware propio de DarkSide, para cifrar los sistemas y los datos de Colonial Pipeline. Después vino la parte fácil: el afiliado programó un temporizador para que el malware se activara, exigió el rescate y se sentó a esperar a recibir el dinero.  

Poner la trampa

Poco más de una semana después de la intrusión inicial, comenzó la infección por ransomware, que dio el pistoletazo de salida a la operación de la filial. Un empleado que comenzaba su jornada laboral en la sala de control central de Colonial Pipeline vio aparecer en su ordenador una nota de rescate exigiendo criptomoneda y llamó a su supervisor. Entonces comenzó la carrera para Colonial Pipeline en su intento de superar la infección para preservar sus sistemas y datos. Después de cerrar el oleoducto para tratar de mitigar los daños y evitar que los piratas informáticos siguieran penetrando, Colonial tuvo que apresurarse a traer expertos para que le ayudaran.  

Los atacantes bloquearon Colonial Pipeline con efectos devastadores, interrumpiendo el suministro de gasolina en todo el este de Estados Unidos. El revuelo mediático en torno al ataque llevó a los preocupados consumidores a hacer largas colas en las gasolineras por temor a una inminente escasez de combustible que no llegó a materializarse. Pero eso no importó. Todos los principales medios de comunicación cubrieron esta noticia masiva y la ciberseguridad se convirtió en el tema favorito de todo el mundo, especialmente en lo que respecta a los usos de la ciberseguridad en la guerra y el pirateo de estados-nación, aunque finalmente se determinó que no se trataba de una operación de agentes de amenazas de estados-nación, sino de ciberdelincuentes codiciosos.  

Cosechar los beneficios (y las consecuencias) 

Además de los rescates pagados para el descifrado, la banda robó unos 100 gigabytes de datos que podían ser de carácter altamente confidencial. Esto les brindó una oportunidad adicional de obtener beneficios, independientemente de si Colonial Pipeline decidía pagar el rescate o no. Además, pagar a los atacantes no garantiza que los datos de la víctima se devuelvan íntegramente ni que no se dupliquen o se utilicen en otra operación de ciberdelincuencia. Nunca hay garantía de que la banda no haya copiado y vendido ya tus datos, y nunca puedes estar seguro de si dicen la verdad cuando afirman que no lo han hecho. De hecho,menos del 60 %de las empresas que pagan el rescate consiguen recuperar siquiera una parte de sus datos, y el 39 % de las empresas que pagan un rescate nunca vuelven a ver ninguno de sus datos. 

Se mire por donde se mire, el ataque de la filial de DarkSide fue un éxito rotundo. Los atacantes consiguieron un gran botín y un tesoro de datos valiosos. Colonial Pipeline pagó a los atacantes al menos un rescate de $4.4 millones de dólares en poco tiempo. La banda más grande de DarkSide también ganó dinero: según los investigadores de FireEye, los afiliados de DarkSide están obligados a enviar a la banda más grande alrededor del 25% de los pagos de rescates inferiores a $500,000 dólares y el 10% de los rescates superiores a $5 millones de dólares.  

Los ciberdelincuentes que llevaron a cabo esta operación causaron sensación en la escena internacional y en los círculos de hackers. Acumularon recursos que les servirían para llevar a cabo futuras operaciones de ciberdelincuencia. Reforzaron su reputación y la de la banda en cierto modo, al tiempo que creaban un problema que, en última instancia, provocó la desaparición de DarkSide. Una investigación a gran escala y con amplios recursos sobre las circunstancias y los implicados en el ataque a Colonial Pipeline obligó a DarkSide a pasar a la clandestinidad y la organización se disolvió oficialmente. Parte del dinero del rescate fue recuperado posteriormente por el FBI en una operación encubierta contra el cibercrimen. 

El ransomware es muy rentable, especialmente la variante de doble cifrado que DarkSide prefería. Antes de que la banda cayera en la oscuridad tras el incidente de Colonial Pipeline, DarkSide había recibido $90 millones de dólares en pagos de rescates en bitcoins en el transcurso de su corta vida, según los analistas de blockchain de Elliptic. Además, estimaron que el pago medio por ransomware en una operación de DarkSide fue de alrededor de $1.9 millones de dólares. Del botín total que obtuvieron las operaciones de DarkSide, estos expertos estiman que $15.5 millones de dólares fueron a parar al desarrollador de DarkSide, mientras que $74.7 millones fueron a parar a sus afiliados. 

Las previsiones no son buenas 

Este ataque situó al ransomware en el centro de un debate cultural más amplio sobre cómo proteger los recursos importantes y defenderse contra la ciberdelincuencia en el mundo digital. A raíz de este ataque, el Gobierno federal de EE. UU. abrió un sitio web integral sobre ransomware para reunir todos los recursos disponibles del Gobierno en un solo lugar con el fin de brindar apoyo a las empresas en la lucha contra la ciberdelincuencia. Se trata de una incorporación muy oportuna, ya que los ataques de ransomware han seguido azotando a las empresas, alcanzando niveles sin precedentes en el segundo trimestre de 2021.  

  • El ransomware representa ya el 69% de todos los ataques con programas maliciosos  
  • Esto supone un aumento del 30% respecto al mismo trimestre de 2020. Este aumento incluye  
  • Sólo en abril de 2021 se produjo un aumento masivo del 45% en los ataques de ransomware. 
  • Investigadores británicos señalan que el 22% de los ataques del primer trimestre de 2021 fueron de ransomware    

El futuro del riesgo de ransomware 

¿Qué podemos esperar de la evolución del ransomware y la ciberdelincuencia en un futuro próximo? He aquí tres de nuestras predicciones.  

  1.  Más uso del ransomware como arma 

En diciembre de 2020, el gobierno de Estados Unidos y muchas grandes empresas sintieron el verdadero impacto de un ataque masivo y dirigido con precisión por parte de un Estado-nación a raíz de una brecha en el gigante de software de ciberseguridad SolarWinds. Una maraña de puertas traseras, parches falsos, correos electrónicos comerciales comprometidos, códigos maliciosos, suplantación de identidad, etc., fue desenmarañada, dejando al descubierto el alarmante hecho de que probablemente piratas informáticos nacionales patrocinados por Rusia habían estado durante meses dentro de los sistemas del gobierno y las agencias de defensa estadounidenses, accediendo a todo tipo de información. El mismo grupo de piratas informáticos también estaba vinculado a ataques a Microsoft, Cisco, FireEye y otras grandes empresas tecnológicas. Se trata de una de las mayores demostraciones hasta la fecha del uso del ransomware como herramienta de espionaje o incluso de guerra. 

2. El riesgo de phishing no deja de aumentar  

El riesgo de phishing se está disparando, con un aumento de casi el 300% en 2021 respecto a las cifras récord de 2020. Parte de ese aumento puede atribuirse a los continuos bloqueos por pandemia que amplían el trabajo a distancia y los nuevos modelos de trabajo híbridos. Desafortunadamente, se estima que el 74% de las organizaciones en los Estados Unidos experimentaron al menos un ataque de phishing en 2020, y el 80% de los encuestados en una encuesta en el Reino Unido dijeron que también han experimentado un aumento en el número de ataques de phishing que sus organizaciones han enfrentado. 

3. Aumento de los ataques estratégicos con precisión milimétrica 

Los investigadores determinaron que el ransomware dirigido ha crecido en un impresionante 767%, superando fácilmente a todos los demás tipos. Este aumento de mensajes maliciosos cuidadosamente diseñados socialmente se ha dejado sentir especialmente en la región APAC. Las cifras registradas recientemente por investigadores del Reino Unido también son escalofriantes, con un aumento interanual récord del 11 % en los ataques contra objetivos británicos en el primer trimestre de 2021. Las empresas británicas sufrieron 172.079 ciberataques de media entre enero y marzo de 2021, lo que equivale a 1.912 al día. Los ciberdelincuentes están eligiendo bien los objetivos para obtener el máximo beneficio de cada ataque y minimizar las investigaciones policiales que podrían ponerles en apuros. 

Descubra el secreto de una sólida defensa contra el ransomware 

Para detener el ransomware hay que empezar por detener el phishing. Establezca una defensa inteligente contra las amenazas de ransomware en un abrir y cerrar de ojos con la seguridad de correo electrónico automatizada y basada en IA de Kaseya 365 User. Kaseya 365 User, la opción ideal para combatir la avalancha de peligrosos correos electrónicos de phishing que se dirigen a todas las empresas, ofrece una seguridad por capas para una mayor protección gracias a tres potentes escudos. 

  • TrustGraph utiliza más de 50 puntos de datos distintos para analizar completamente los mensajes entrantes antes de permitir que pasen a las bandejas de entrada de los empleados. TrustGraph también aprende de cada análisis que completa, añadiendo esa información a su base de conocimientos para perfeccionar continuamente su protección y seguir aprendiendo sin intervención humana.  
  • EmployeeShield añade un recuadro brillante y perceptible a los mensajes que podrían ser peligrosos, notificando a los empleados de comunicaciones inesperadas que pueden ser indeseables y permitiendo a los empleados informar de ese mensaje con un solo clic para que lo inspeccione el administrador.    
  • Phish911 permite a los empleados informar al instante de cualquier mensaje sospechoso que reciban. Cuando un empleado informa de un problema, el correo electrónico en cuestión no solo se elimina de la bandeja de entrada de ese empleado, sino que se elimina de la bandeja de entrada de todos y se pone automáticamente en cuarentena para que lo revise el administrador. 

La elección es clara: una solución de seguridad de correo electrónico inteligente y automatizada es la mejor opción para las empresas en 2021 y en los años venideros. Déjanos ayudarte a que tu empresa disfrute de las grandes ventajas de la seguridad automatizada a un precio reducido, sin renunciar a la funcionalidad ni a la innovación, al elegir Kaseya 365 User.Reserva una demostración hoy mismo.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

Desde el phishing hasta el ransomware: cómo Kaseya 365 User protege tus aplicaciones SaaS

Las aplicaciones SaaS, como Microsoft 365 y Google Workspace, impulsan prácticamente todos los aspectos de las operaciones digitales actuales. Sin embargo, a medida que las empresasSeguir leyendo

Leer la entrada del blog

¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio es un modelo de negocio en el que los ciberdelincuentes desarrollan ransomware y lo venden o alquilan a afiliados. Descubre cómo funciona y cómo detenerlo.

Leer la entrada del blog

Evite problemas informáticos este San Valentín con la detección de ransomware

Este San Valentín, los ciberdelincuentes de todo el mundo están dispuestos a romperte el corazón. Su objetivo es piratearSeguir leyendo

Leer la entrada del blog