Los atacantes del oleoducto de Colonial, están vinculados al infame grupo REvil

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

El grupo de ransomware, DarkSide, al que el gobierno de Estados Unidos culpa de un ataque que paralizó un importante oleoducto de combustible de la Costa Este, ha sido vinculado a una conocida variante utilizada en ataques de extorsión contra Apple y Donald Trump.

La variante DarkSide apareció por primera vez en torno a agosto de 2020, pero después de unos meses de operarla ellos mismos, sus propietarios de habla rusa la abrieron a los afiliados, como hacen la mayoría de los grupos de ransomware en la actualidad.

Los investigadores de Flashpoint afirmaron con “moderada confianza” que es probable que los propietarios de DarkSide hayan sido antiguos afiliados de REvil, un grupo que ha sido noticia recientemente por su intento de extorsión a Apple y al proveedor Quanta Computer y una de las operaciones de ransomware como servicio (RaaS) más exitosas que existen.

También argumentaron que el propio malware se basa en el código de REvil.

Un análisis de FireEye apuntaba a un solapamiento entre las dos operaciones de RaaS, pero sólo en el sentido de que algunos grupos de amenazas han sido probablemente afiliados a ambas.

El propio Colonial Pipeline habría reanudado sus operaciones el miércoles, después de cinco días fuera de servicio, aunque su sitio web es inaccesible y la empresa ha afirmado que todavía es probable que se produzcan interrupciones del servicio en los próximos días.

El apagón obligó a algunos estados a declarar la emergencia, mientras los automovilistas estadounidenses hacían cola para repostar y los precios de la gasolina se disparaban.

Los investigadores siguen investigando el origen del ataque, aunque el proveedor de ciberseguros Coalition, que en 2020 compró la empresa de ciberseguridad BinaryEdge, cree haber encontrado una “pistola humeante”.

La firma afirma que Colonial estaba ejecutando una versión vulnerable de Microsoft Exchange Server en el momento en que fue atacado, aunque el escaneo remoto reveló que también estaba ejecutando servicios SNMP, NTP y DNS expuestos.

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha publicado una guía de buenas prácticas para las organizaciones sobre cómo protegerse de los ataques de ransomware.

Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator