El ransomware se ha convertido en una peligrosa lacra en los últimos años, donde los atacantes pueden recibir dinero de manera anónima a cambio de sembrar el caos en casas de particulares y, sobre todo, en empresas al completo. Ahora, un nuevo ransomware es tan peligroso que el FBI y la Agencia de Ciberseguridad e Infraestructura del Departamento de Estados Unidos (CISA) están alertando sobre él.
El motivo para alertar de este ransomware tiene que ver con el ataque que ha sufrido Colonial Pipeline, el mayor sistema de oleoductos de Estados Unidos que puede transportar 3 millones de barriles de combustible al día entre Texas y Nueva York, en una red que recorre 8.850 kilómetros.
DarkSide: el ransomware siempre actualizado
El ataque se produjo el pasado viernes, donde un grupo utilizó el malware DarkSide, que funciona como un Ransomware-as-a-Service (RaaS). Tras el ataque, la compañía tuvo que suspender sus operaciones y apagar sus sistemas para contener el incidente. El vector de entrada, al parecer, fue a través de una empresa externa.
La compañía todavía no ha conseguido recuperarse, y al ser responsable del 45% del suministro de crudo para la costa este de Estados Unidos, el FBI se ha involucrado por ser un asunto que afecta a la seguridad nacional.
Según el FBI, los grupos de cibercriminales utilizan DarkSide para obtener acceso a la red de la víctima, obtener los datos, y luego cifrarlos. Posteriormente, amenazan con publicar los datos si la víctima no paga el rescate. El problema es que en la mayoría de ocasiones acaba publicado de igual manera.
Este sistema de ransomware funciona de manera similar a lo que ocurre con una suscripción a un programa como puede ser Office o Photoshop. En él, los cibercriminales se suscriben para obtener la versión más actualizada del ransomware, el cual puede aprovechar nuevas vulnerabilidades o haber encontrado nuevos vectores de entrada. A cambio, los creadores del ransomware se quedan una parte de los beneficios cuando se paga un rescate.
DarkSide ha intentado hacerse ver como si fueran el Robin Hood de los ransomware, evitando atacar a hospitales, centros sanitarios o de cuidados de personas. Sus desarrolladores se han distanciado rápidamente de este ataque.
Recomendaciones para evitar ransomware
Por su peligrosidad, el FBI ha alertado a los ingenieros encargados de la seguridad de infraestructura crítica para el país de que tengan más cuidado e implementen todos los mecanismos de seguridad y prevención posibles, incluyendo la implementación de una segmentación de red entre las redes IT y OT, comprobar las herramientas de control, comprobar las copias de seguridad, y aislar los dispositivos de Internet en la medida en la que sea posible.
Además, recomiendan tener autenticación en varios pasos para acceso remoto, implementar filtros de phishing para evitar emails falsos (una de las principales vías de entrada), filtros de tráfico, utilizar antivirus antiransomware, entrenar a los empleados, instalar parches con frecuencia y realizar auditorías de seguridad periódicamente.
Por último, recomiendan no pagar nunca los rescates por ransomware, ya que se anima a los atacantes a seguir llevando a cabo esa actividad y lucrarse con ello, aunque también pueden lucrarse posteriormente vendiendo los datos obtenidos en la Dark Web. Además, nunca es garantía de que los archivos vayan a recuperarse.