Colonial Pipeline pagó un rescate de $ 5 millones y mantuvo un círculo vicioso girando

Colonial Pipeline pagó un rescate de $ 5 millones y mantuvo un círculo vicioso girando

Sean Rayford | imágenes falsas

Casi una semana después de ataque de ransomware liderado por Colonial Pipeline a detener la distribución de combustible en la costa este

, surgieron informes el viernes, la compañía pagó un rescate de 75 bitcoins, con un valor de hasta $ 5 millones, dependiendo del momento del pago, en un intento por restaurar el servicio más rápidamente. Y aunque la empresa pudo reiniciar operaciones el miércoles por la noche, la decisión de ceder a las demandas de los piratas informáticos solo envalentonará a otros grupos en el futuro. El progreso real contra la epidemia de ransomware, dicen los expertos, requerirá que más empresas digan que no.

No quiere decir que hacerlo sea fácil. El FBI y otros grupos encargados de hacer cumplir la ley han desalentado durante mucho tiempo a las víctimas de ransomware de pagar tarifas de extorsión digital, pero en la práctica muchas organizaciones recurren al pago. O no tienen las copias de seguridad y otra infraestructura necesaria para recuperarse, no pueden o no quieren tomarse el tiempo para recuperarse por su cuenta, o deciden que es más barato pagar el rescate en silencio y seguir adelante. Grupos de ransomware Examinar cada vez más las finanzas de sus víctimas antes de soltar sus trampas., permitiéndoles fijar el precio más alto posible que sus víctimas todavía puedan pagar.

En el caso de Colonial Pipeline, el grupo de ransomware DarkSide atacó la red comercial de la empresa en lugar de las redes de tecnología operativa más sensibles que controlan la tubería. Pero Colonial también eliminó su red OT en un intento por contener el daño, aumentando la presión para resolver el problema y reanudar el flujo de combustible a lo largo de la costa este. Otro factor potencial en la decisión, primero informó para Zero Day, era que el sistema de facturación de la empresa se había infectado con ransomware, por lo que no tenía forma de rastrear la distribución de combustible y facturar a los clientes.

Los defensores de la tolerancia cero para los pagos de rescate esperaban que el cierre proactivo de Colonial Pipeline fuera una señal de que la empresa se negaría a pagar. Informes el miércoles indicó que la compañía tenía un plan para resistir, pero numerosos informes posteriores el jueves, dirigido por Bloomberg, confirmó que se había pagado el rescate de 75 bitcoins. Colonial Pipeline no devolvió una solicitud de comentarios de WIRED sobre el pago. Todavía no está claro si la compañía pagó el rescate poco después del ataque o días después, ya que los precios del combustible aumentaron y las filas en las estaciones de servicio aumentaron.

“No puedo decir que esté sorprendido, pero ciertamente es decepcionante”, dice Brett Callow, analista de amenazas de la compañía antivirus Emsisoft. “Desafortunadamente, ayudará a mantener a los proveedores de infraestructura crítica de Estados Unidos en la mira. Si un sector demuestra ser rentable, seguirán haciéndolo “.

En una sesión informativa el jueves, la secretaria de prensa de la Casa Blanca, Jen Pskai, enfatizó en general que el gobierno de Estados Unidos alienta a las víctimas a no pagar. Otros en la administración dieron una nota más mesurada. “Colonial es una empresa privada y diferiremos la información sobre su decisión de pagarles un rescate”, dijo Anne Neuberger, asesora adjunta de seguridad nacional para tecnologías cibernéticas y emergentes, en una conferencia de prensa el lunes. Agregó que las víctimas de ransomware “enfrentan una situación muy difícil y [often] tienen que equilibrar el costo-beneficio cuando no tienen otra opción con respecto a pagar un rescate “.

Los investigadores y los formuladores de políticas han tenido dificultades para producir una guía completa sobre los pagos de rescate. Si todas las víctimas en el mundo de repente dejaran de pagar rescates y se mantuvieran firmes, los ataques se detendrían rápidamente, porque no habría ningún incentivo para que los delincuentes continuaran. Pero coordinar un boicot obligatorio parece poco práctico, dicen los investigadores, y probablemente resultaría en más pagos en secreto. Cuando la pandilla de ransomware Evil Corp atacó a Garmin el verano pasado, la empresa pagó el rescate a través de un intermediario. No es inusual que las grandes empresas utilicen un intermediario para el pago, pero la situación de Garmin fue particularmente notable porque Evil Corp había sido sancionada por el gobierno de EE. UU.

“Para algunas organizaciones, su negocio podría quedar completamente destruido si no pagan el rescate”, dice Katie Nickels, directora de inteligencia de la firma de seguridad Red Canary. “Si no se permiten los pagos, verá que las personas se muestran más tranquilas a la hora de realizar los pagos”.

Parados prolongados de hospitales, la infraestructura crítica y los servicios municipales también amenazan más que solo las finanzas. Cuando las vidas están literalmente en juego, una posición de principios contra los piratas informáticos desaparece rápidamente de la lista de prioridades. La propia Nickels participó recientemente en un esfuerzo público-privado para establecer recomendaciones de ransomware; el grupo no pudo ponerse de acuerdo sobre una guía definitiva sobre si pagar y cuándo hacerlo.

“El Grupo de Trabajo sobre Ransomware discutió esto extensamente”, dice ella. “Hubo muchas cosas importantes en las que el grupo llegó a un consenso y el pago fue uno en el que no hubo consenso”.

Como parte de una ciberseguridad Orden ejecutiva firmado por el presidente Joseph Biden el miércoles, el Departamento de Seguridad Nacional creará una Junta de Revisión de Seguridad Cibernética para investigar e informar sobre ciberataques “importantes”. La escala del problema del ransomware. Pero si bien la junta tiene incentivos para atraer a las organizaciones privadas a participar, es posible que aún necesite más autoridad del Congreso para exigir una transparencia total. Mientras tanto, los pagos continuarán, al igual que los ataques.

“No debería pagar, pero si no tiene otra opción y estará fuera del negocio para siempre, pagará”, dice Adam Meyers, vicepresidente de inteligencia de la firma de seguridad CrowdStrike. mente, lo único que realmente va a impulsar el cambio es que las organizaciones no se obtengan en primer lugar. Cuando el dinero desaparezca, estos tipos encontrarán otra forma de ganar dinero. Y luego tendremos que lidiar con eso “.

Sin embargo, por ahora, el ransomware sigue siendo una amenaza inveterada. Y el pago de $ 5 millones de Colonial Pipeline solo afectará a los ciberdelincuentes.

Esta historia apareció originalmente en wired.com.

Leave a Reply

Your email address will not be published. Required fields are marked *