in

Oleoducto colonial, los gerentes de Accellion comparten historias de guerra de ciberataques



CUMBRE DE DEFENSA CIBERNÉTICA OBLIGATORIA – Washington, DC – Joe Blount, presidente y director ejecutivo de Colonial Pipeline, dice que una vez que se enteró de que su empresa había sido golpeada por un ciberataque importante, su trabajo diario quedó en segundo plano frente a los simulacros prácticos que siguieron respuesta a incidentes en cubierta.

«El trabajo típico de un director ejecutivo se salió de control hace unas horas y solo ha regresado durante mucho tiempo», dijo, y describió cómo fue cuando se le notificó por primera vez sobre el ataque de ransomware, que fue temporal. El resultado fue el cierre de la empresa. en su tubería física, los sistemas de OT y TI se cerraron como medida de precaución, y al final se pagó el rescate de $ 4.4 millones. Gran parte de ese rescate fue recuperado más tarde por el FBI, aproximadamente $ 2,3 millones de lo que la compañía pagó a la banda de ransomware DarkSide.

A Blount, como a la mayoría de sus ejecutivos y empleados, se le asignó un papel específico en la respuesta de la empresa: era el «canal» a través del cual comunicarse con el Departamento de Energía de Estados Unidos (DoE) sobre los detalles del ataque, la respuesta y la recuperación. “En nuestro caso, inmediatamente después del ataque, es responsabilidad del CEO contener el ataque y corregir la situación. Ese será el enfoque «, dijo Blount, quien compartió la opinión del director ejecutivo sobre una respuesta a un incidente crítico a un ciberataque con el presidente y director ejecutivo de Accellion, Jonathon Yaron, durante un panel de presentación con el vicepresidente senior y director de tecnología de Mandiant, Charles Carmakal.

“Después de un incidente como este, el día no tiene suficiente tiempo ni gente. Interfieres activamente ”, dijo. Para Blount, esto significó realizar reuniones informativas actualizadas con el gobierno federal a través del Departamento de Energía a diario sobre lo que estaba sucediendo y lo que Colonial Pipeline y su equipo de respuesta a incidentes, incluido Mandiant, habían descubierto.

“Cuando establecimos esta línea con el gobierno, lo que nos permitió comunicarnos con la Casa Blanca, con todas las agencias reguladoras relevantes [for the industry], a los grupos de presión que han sido útiles en la difusión de información a empresas similares «, dijo, permitiéndoles alertar indirectamente a otras organizaciones sobre la amenaza.

Yaron de Accellion, ex miembro del prestigioso equipo de inteligencia israelí en la Unidad 8200, recordó la segunda ronda de ataques casi un mes después del primer ataque a la plataforma, que explotó los días cero en la antigua plataforma de dispositivos de transferencia de archivos de la compañía. «Aquí están, dos ex-8200», dijo, refiriéndose a sí mismo y al director de tecnología de su empresa. «Obviamente entendemos que alguien los burló [us] en el segundo día 0 [attack] A finales de enero «, dijo, y los atacantes» saben algo que nosotros no sabemos «.

El ataque se descubrió por primera vez cuando un detector de anomalías en Accellion FTA, una tecnología de 20 años que todavía utilizan algunas empresas para transferir archivos grandes, activó una alarma en una institución académica en el noreste de Estados Unidos, que luego se puso en contacto con Accellion. No estaba claro para el vendedor si se trató de un ataque gubernamental o comercial y si fue un evento único o un evento masivo, dijo. Los bancos, las agencias del gobierno de los EE. UU. Y una gran organización de salud se encontraban entre los clientes que todavía usaban el producto más antiguo.

«La primera tarea fue comprender la escala», dijo Yaron. Había alrededor de 300 posibles organizaciones de víctimas, pero al final Accellion descubrió que casi 90 se vieron afectadas, de las cuales 35 tuvieron un «impacto significativo».

La brecha de seguridad en Accellion resultó en el robo de datos de los clientes y posteriores intentos de chantaje, que los ciberdelincuentes utilizaron como palanca. El proveedor lanzó un parche para el primer ataque de día cero dentro de las 72 horas posteriores al descubrimiento en diciembre y alentó a los clientes a cambiar a su plataforma de firewall Kiteworks actual. Pero el 1 de febrero, anunciaron que los atacantes habían vuelto a intentarlo con un segundo conjunto de vulnerabilidades en la plataforma.

Mandiant descubrió que los datos de empresas de Estados Unidos, Canadá, los Países Bajos y Singapur se habían publicado en un sitio web oscuro con enlaces a la banda de ciberdelincuentes rusa llamada Fin11. Kroger, Jones Day y Singtel se encontraban entre las víctimas de la violación de Accellion.

Accellion redobló su presión pidiendo a los clientes que apagaran los sistemas FTA. «La gran mayoría nos escuchó y apagó los sistemas», dijo Yaron. «Por lo tanto, no más del 10% [of Accellion customers] ha sido profundamente penetrado «.

‘Eso es una locura’

Un cliente de Fortune 100 se negó a cerrar su sistema FTA. Afirmaron que sus operaciones eran demasiado críticas para interrumpirlas. «‘Lo monitorearemos segundo a segundo'», recordó Yaron que le dijo su equipo de alta gerencia. «Dije, ‘Esto es una locura’ … [but] lograron mantener alejados a los perpetradores «.

Blount de Colonial Pipeline dice que se estaba preparando para trabajar a principios del 7 de mayo cuando se enteró del ataque a su empresa. «Me enteré de que habíamos recibido un ataque de ransomware a través de uno de nuestros sistemas en nuestra sala de control», recuerda. “Cuando me notificaron, ya estábamos ocupados cerrando 8.500 millas de tuberías. Se capacita a los empleados cuando perciben un riesgo; como puedes imaginar, no sabíamos lo que teníamos en ese momento. Sabíamos que teníamos una amenaza, sabíamos que la amenaza debía ser contenida, y por eso cerramos el oleoducto para hacerlo «.

El cierre era un procedimiento de respuesta estándar para identificar un riesgo y resolverlo. En esta etapa inicial de la investigación, Blount dijo que no había confirmación de si los sistemas de TI u OT estaban comprometidos, o si la tubería estaba físicamente comprometida. Entonces decidieron cerrarlo por precaución. “Sabíamos que teníamos un ataque de ransomware, pero ¿podríamos haber tenido un ataque físico? ¿Podría ser un estado-nación que intenta dañar a los EE. UU.? Así que iniciamos y cerramos el oleoducto en una hora «.

A diferencia de la mayoría de las víctimas de ransomware que pagan, Colonial Pipeline recuperó la mayor parte de su dinero. La recuperación del rescate por parte del FBI es «una gran victoria para nosotros como comunidad de seguridad», dijo Carmakal de Mandiant.

Colonial Pipeline entregó su billetera Bitcoin al FBI un día después del retiro, lo que Blount dijo que ayudó a la agencia a recuperar los fondos con éxito. «El gobierno ha estado muy concentrado en ayudarnos a recuperar nuestros sistemas y mitigar un ataque criminal en todo el país», dijo.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El error de día cero del servidor web Apache es fácil de explotar: ¡parchee ahora! – Pura seguridad

Twitch sufre una fuga masiva de datos y código fuente de 125 GB debido a una mala configuración del servidor