Tips

Aprendizaje del ciberataque a Colonial Pipeline

ciber ataque colonial pipeline

El pasado 10 de mayo la noticia del ciberataque a Colonial pipeline fue confirmado por diversos agencias de noticias y firmas internacionales de ciberseguridad.   La CISA (CyberSecurity & Infrastructure Security Agency) confirmó a través de un comunicado en su sitio web el día 11 de mayo, el ataque perpetuado por el ramsomware DarkSide a infraestructura crítica. Recordemos que ramsonware es una forma de secuestrar el control de equipos informáticos y de automatización.  

¿Cómo inició?

Los atacantes ganaron acceso a través de técnicas Phishing, explotando cuentas de acceso remoto y de escritorios virtuales. Después de tener acceso, los atacantes dispersaron su ramsonware para cifrar y robar información sensible. Los atacantes usaron principalmente “TOR” (The Onion Router) para el control de consola y usando “Cobalt Strike”, Putty, PCHunter, MegaSync.    

¿Solicitud de atacantes?

  • Iniciaron con 30 millones de dólares o la divulgación de información robada
  • Después de negociaciones el pago fue por 12 millones

 

¿Equipos más afectados?

  • Sistemas operativos Windows

 

Aprendizaje y recomendaciones para mitigar riesgos como el ciberataque a Colonial Pipeline:

  1. El uso indiscriminado de accesos remotos débiles es una puerta abierta a ataques. Debe implementarse autenticación multifactorial, una contraseña no basta.
  2. Se deben implementar filtros fuertes de spam y phishing en correos.
  3. Filtrar tráfico de red con reglas de ingreso y de egreso.
  4. Actualiza todo el software, sobre todo antivirus y actualizaciones de seguridad de los sistemas operativos.
  5. Implementa una segmentación de red robusta.
  6. Implementa procesos de respaldo

    Las recomendaciones anteriores forman parte de un Plan de Ciberseguridad Industrial  

 

¿ ya tienes tu Plan ?

 

Contáctanos para cualquier duda o ayuda que requieras.

  Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 

 

Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

 

 

 
 
Dudas de algún término técnico, consulta nuestra sección especializada:
 

      Referencia: https://us-cert.cisa.gov/ncas/alerts/aa21-131a https://www.fortiguard.com/threat-signal-report/3943/colonial-pipeline-attack-attributed-to-darkside-ransomware-group  

Back to list