Equipo Semperis

El ciberataque a Colonial Pipeline en mayo de 2021 es uno de los principales ataques a infraestructuras críticas hasta la fecha. En aquel momento, el Director de Servicios de Semperis, Sean Deuby, predijo que el ataque de ransomware como servicio (RaaS) era una "implicación de lo que está por venir... temporada abierta a los proveedores de infraestructuras". Un año después, hablamos con Sean sobre el estado actual de la ciberseguridad de las infraestructuras: qué lecciones se aprendieron, qué nuevas amenazas han surgido y qué medidas pueden tomar ahora los proveedores de infraestructuras para evitar convertirse en el próximo gran objetivo.

El año pasado, usted predijo que el atentado contra Colonial Pipeline era el comienzo de una tendencia dirigida contra los proveedores de infraestructuras críticas. ¿Lo estamos viendo ahora?

Sean Deuby: Basándome únicamente en las advertencias del FBI y de la CISA, diría que la respuesta es un rotundo "Sí". Desde BlackCat a REvil pasando por RagnarLocker, el número y la frecuencia de las amenazas y los actores de las amenazas siguen siendo elevados. Y las infraestructuras críticas parecen ser un objetivo cada vez más atractivo.

Lo que hay que tener en cuenta es que "infraestructuras críticas" es un campo de juego bastante amplio. Lo primero que nos viene a la mente cuando oímos ese término, al menos en Estados Unidos, es probablemente el ciberataque a Colonial Pipeline y el ataque a la planta de tratamiento de aguas de Florida unos meses antes. Pero los servicios públicos, incluidas las infraestructuras de petróleo y gas, son sólo la punta del iceberg cuando hablamos de sistemas críticos. Yo diría que la sanidad es crítica. La prevención de incendios, los servicios comunitarios son críticos. El suministro de alimentos es crítico. Los dos últimos años han demostrado lo vulnerable que es la cadena de suministro justo a tiempo a cualquier tipo de interrupción, incluido el tipo de ataque de ransomware que REvil aprovechó contra JBS. Y todas estas industrias son objetivos principales para los grupos de ransomware.

"Según Gartner, los ataques de ransomware han aumentado un 400% desde el ataque de Colonial Pipeline en mayo de 2021, e incluyen clientes que han sufrido ataques y han pasado por la recuperación."

Gartner: Cómo proteger los sistemas de copia de seguridad de los ataques de ransomware

¿Hay alguna razón por la que los proveedores de infraestructuras sean especialmente vulnerables?

Bueno, de entrada: Sistemas SCADA. Dispositivos IoT. Sistemas operativos embebidos con pocas o ninguna actualización de seguridad. Tecnología obsoleta y difícil de actualizar. Sanidad, sistemas de servicios públicos... estos sectores están plagados de este tipo de dispositivos, que son muy difíciles de proteger.

La pandemia también ha complicado el panorama al aumentar la necesidad de acceso remoto. Eso, por supuesto, aumenta la superficie de ataque. Durante el apogeo de los bloqueos, muchas entidades se vieron obligadas a improvisar esos métodos. Como resultado, no se construyeron con el cuidado, la consideración y la seguridad que realmente necesitan tener.

Dependiendo del sector, la financiación siempre es un problema. Muchas organizaciones no pueden o no quieren justificar un gasto adicional en defensa por capas o tolerancia a fallos. Por supuesto, si te ataca el ransomware, el coste será mucho mayor.

¿Está observando un aumento del uso de RaaS para distribuir ransomware?

Sin duda, ahora es una opción popular para los actores maliciosos. El objetivo de la mayoría de los grupos de ransomware es ganar dinero de la forma más rápida y sencilla posible. Ese es el objetivo final: ganar dinero, potencialmente para financiar actividades realmente desagradables, desde el crimen organizado hasta el terrorismo. Cualquier método que cumpla ese objetivo es válido. ¿Por qué no reducir las dificultades para entrar en el negocio? ¿Por qué no facilitar las cosas a los afiliados y sacar tajada en el proceso?

¿Qué acontecimientos del año transcurrido desde el ciberataque a Colonial Pipeline le han sorprendido?

Quizás lo que más me sorprende es que no hayamos visto más ciberataques realmente efectivos de los que hemos visto. Creo que la mayoría de los expertos en IAM estamos siempre al borde de nuestros asientos, conteniendo la respiración a la espera de que el próximo NotPetya asome su fea cabeza. Especialmente teniendo en cuenta algunos de los acontecimientos mundiales ocurridos en el año transcurrido desde el ciberataque a Colonial Pipeline, estoy gratamente sorprendido de que no hayamos visto nada peor. Espero que eso sea un indicador de que las organizaciones están tomando medidas más eficaces para proteger sus redes y sistemas de identidad como Active Directory, que suele ser el objetivo final del ransomware.

Otra novedad, aunque no sorprendente, es la reaparición de algunos jugadores del Lado Oscuro en el grupo BlackCat. Yo diría que es más interesante que sorprendente. Hay que tener en cuenta que muchos de estos grupos atacan infraestructuras críticas: Después de que DarkSide fuera blanco del gobierno estadounidense tras el ataque al oleoducto Colonial Pipeline, los actores de amenazas no estatales han tratado de mantener los ataques lo suficientemente pequeños como para evitar una intervención seria del gobierno. Esto supone una amenaza real para su potencial de beneficios. Por tanto, ver a grupos disolverse y reformarse en otras iteraciones no es inesperado. Y desde la perspectiva de la ciberseguridad, podría indicar el tipo de tácticas que veremos en los nuevos grupos, en función de las afiliaciones previas de sus miembros.

Así que, teniendo en cuenta todo esto, ¿qué medidas pueden tomar ahora mismo las entidades de infraestructuras críticas para ayudar a protegerse?

En Semperis, siempre aconsejamos a las organizaciones que "piensen como un atacante". Realmente tienes que ver tu seguridad como lo haría alguien sin brújula moral o con una brújula moral extremadamente retorcida. ¿Dónde está el mayor beneficio? ¿Es su propiedad intelectual? ¿Sus datos de clientes? En el caso de las infraestructuras críticas, cuando hablamos de ransomware, a menudo se trata simplemente de la cantidad de dinero que los actores de amenazas pueden ganar bloqueando sus sistemas generalmente después de haber exfiltrado valiosos datos de la organización. Es mucho más probable que un hospital que utiliza muchos equipos IoT para prestar servicios vitales (medicación, ventilación, etc.) pague rápidamente que una organización que puede retrasar la prestación de servicios durante días.

Aparte de los consejos obvios -parches, políticas de contraseñas seguras y similares-, la segmentación de la red y la aplicación de controles estrictos en torno al acceso remoto son pasos importantes. El acceso remoto, como he mencionado antes, amplía la superficie de ataque. Por tanto, cuanta más protección se pueda ofrecer, mejor. Para empresas como las de servicios públicos, aislar los sistemas informáticos y de autenticación de los sistemas de control de procesos -y asegurarse de que no se utilizan credenciales duplicadas en ambos- puede, al menos, ganar tiempo durante un ataque.

¿Alguna otra idea para el resto de 2022?

Lo que hay que tener en cuenta sobre el ransomware es que los atacantes que consiguen invadir un sistema empiezan inmediatamente a buscar accesos privilegiados. Se mueven lateralmente, paso a paso, utilizando Active Directory. Una vez que dan con el administrador, pueden causar todo tipo de estragos. Por eso es tan importante contar con una solución de defensa específica para AD. Es posible que tenga que defender miles de puntos finales y cuentas de usuario. La probabilidad de que alguien o algo se escape es alta. Implementar una seguridad sólida en torno a Active Directory -la capacidad de automatizar alertas contra indicadores de seguridad conocidos de exposición y compromiso, revertir los cambios en Active Directory hasta que su equipo de seguridad pueda revisarlos y aprobarlos y, en el peor de los casos, recuperarse de una copia de seguridad reciente sin reintroducir malware- es su mejor apuesta cuando se trata de mantener las luces encendidas.

Nuestro último informePurple Knight muestra que los sectores de infraestructuras críticas, administración pública, sanidad y transporte pueden mejorar mucho la seguridad de las cuentas y, en particular, la seguridad de las directivas de grupo. Animo a las organizaciones a que utilicen la herramienta de evaluación gratuita Purple Knight para hacerse una idea rápida de la situación de la seguridad de Active Directory.

Gracias por hablar con nosotros, Sean.

¿Quiere saber más sobre la defensa de infraestructuras críticas frente a catástrofes como el ciberataque a Colonial Pipeline? Consulte estos recursos: