A medida que se acerca el segundo aniversario del ataque masivo de ransomware en Colonial Pipeline, los expertos advierten que los esfuerzos para frustrar la amenaza potencialmente debilitante para la infraestructura crítica de EE. UU. no han sido suficientes.

El ataque cibernético a su infraestructura de TI obligó a Colonial Pipeline a cerrar todas sus operaciones por primera vez, lo que provocó una escasez de combustible y aumentos de precios que llevaron a cuatro estados de EE. UU. a lo largo de la costa este a declarar estado de emergencia. El incidente elevó inmediatamente el ransomware a una amenaza de nivel de seguridad nacional. y galvanizó la acción concertada desde el Poder Ejecutivo hacia abajo.

Desde el ataque, y otro poco después en JBS que amenazó con la escasez de carne nacional, el gobierno de EE. UU. ha dicho que trataría el uso de ransomware. sobre infraestructura crítica como terrorismo. Una orden ejecutiva firmada por el presidente Biden pocos días después del ataque al oleoducto colonial ordenó nuevos requisitos de seguridad para las organizaciones de infraestructura crítica. Y ha habido muchas otras iniciativas a nivel federal y por parte de los organismos reguladores para reforzar la resistencia a los ataques a la infraestructura crítica de los EE. UU.

Sin embargo, dos años después, la amenaza de ransomware para la infraestructura crítica sigue siendo alta, ya que un ataque reciente contra el mayor proveedor de almacenamiento en frío de Estados Unidos, Americold, presentado. El ataque, como el de Colonial Pipeline, obligó a Americold a cerrar las operaciones de almacenamiento en frío mientras trabajaba para remediar la amenaza. El año pasado, 870 de las 2,385 quejas de ransomware que recibió el FBI involucraron organizaciones de infraestructura crítica. El datos del fbi mostró que 14 de los 16 sectores de infraestructura crítica designados tenían al menos una víctima de ransomware.

La tendencia continúa sin cesar en 2023: el Informe sobre el estado del ransomware de BlackFog de abril de 2023 mostró que los ataques de ransomware en la atención médica, el gobierno y el sector de la salud son continuando creciendo, a pesar de los informes de otros proveedores sobre una desaceleración en los volúmenes de ataque.

Negocios inconclusos

Los expertos en seguridad ven la situación como una en la que a pesar de todo el trabajo realizado hasta ahora, hay mucho más por hacer.

Theresa Payton, CEO de Fortalice Solutions y ex CIO de la Oficina Ejecutiva del Presidente en la Casa Blanca, destaca varias medidas desde Colonial Pipeline que considera pasos positivos en la lucha contra el ransomware. Incluyen la del presidente Biden Orden Ejecutiva 14028 sobre la Mejora de la Ciberseguridad de la Nación, Memorándum de Seguridad Nacional 5 dirigido específicamente a los sistemas de control de infraestructura crítica, y los esfuerzos para establecer modelos de ciberseguridad de confianza cero en las agencias federales bajo M-22-09. También son destacables medidas como la Informe de incidentes cibernéticos para la Ley de infraestructura crítica y las disposiciones de ciberseguridad en el Infraestructura bipartidista de una familia.

el FBI desmantelamiento sistemático del altamente destructivo grupo de ransomware Hive es otra indicación de progreso, dice Payton.

Lo que se necesita ahora, explica, son directivas más específicas para las organizaciones de infraestructura crítica. “Debemos desarrollar los requisitos mínimos de ciberseguridad para los sectores críticos [y mejorar] los estándares de autenticación y prueba de identidad para evitar que ocurran incidentes de ransomware”, dice.

“Las organizaciones de infraestructura crítica como Colonial Pipeline deben adoptar principios de confianza cero para evitar ataques de ransomware, especialmente a medida que la ingeniería social se vuelve más realista, sofisticada, persistente y compleja”, dice Payton.

Mike Hamilton, ex CISO de Seattle y actual CISO de la firma de ciberseguridad Critical Insight, dice que el ataque de Colonial Pipeline expuso la falta de buenos procedimientos entre los operadores de infraestructura de EE. UU. para recuperarse de un ciberataque grave.

“Una vez que Colonial cerró la operación del oleoducto por precaución, tomó demasiado tiempo para reiniciar, lo que prolongó el problema de suministro de combustible existente”, dice. “Este es un problema de resiliencia. Tienes que ser capaz de recibir un golpe y levantarte de la lona antes de que termine la cuenta de diez”.

Hacer que los ataques de ransomware sean más costosos

En los dos años transcurridos desde el incidente del Oleoducto Colonial, las entidades gubernamentales de EE. UU. han trabajado para hacer que los atacantes de ransomware sean más difíciles y costosos para los atacantes, señala Hamilton. El Departamento del Tesoro, por ejemplo, ha utilizado su autoridad existente de la Oficina de Control de Activos Extranjeros (OFAC) para prohibir el uso de intercambios criptográficos para pagos de extorsión. El Departamento de Justicia de EE. UU. también ha sido más agresivo al derribar de manera proactiva la infraestructura criminal y detener a los delincuentes.

En el futuro, el énfasis debe estar en defender y eliminar la infraestructura criminal, dice. Identifique y sancione a los delincuentes para su eventual captura y encarcelamiento y prohíba que las víctimas de ransomware realicen pagos, dice Hamilton.

La Agencia de Infraestructura y Seguridad Cibernética de EE. UU. (CISA, por sus siglas en inglés) también ha estado desempeñando un papel activo para lograr que las agencias federales refuercen las defensas contra el ransomware y otras amenazas cibernéticas.

El catálogo de Vulnerabilidades Explotadas Conocidas de la agencia, por ejemplo, requiere que todas las agencias gubernamentales civiles corrijan las vulnerabilidades que se están explotando activamente dentro de un período de tiempo específico, generalmente dos semanas, para minimizar la exposición a las ciberamenazas. Más recientemente, CISA lanzó una Piloto de advertencia de vulnerabilidad de ransomware (RVWP) programa para advertir a las organizaciones en sectores de infraestructura crítica sobre sistemas con vulnerabilidades en ellos que un atacante de ransomware podría explotar. En marzo de 2023, CISA lanzó un Iniciativa de notificación previa al ransomware donde ha estado advirtiendo a las organizaciones sobre los actores de ransomware en sus redes para que puedan eliminar la amenaza antes de que ocurra el cifrado de datos.

Los programas son parte del Joint Cyber ​​Defense Collaborative (JCDC) de CISA a través del cual la agencia recibe consejos e información sobre amenazas de investigadores de ciberseguridad, actores de infraestructura y empresas de inteligencia de amenazas.

“CISA ha reconocido la amenaza del ransomware para la infraestructura crítica”, dice Mariano Núñez, director ejecutivo y cofundador de Onapsis. Desde principios de año, ya han señalado a más de 60 organizaciones en los sectores de atención médica, servicios públicos y otros, sobre posibles amenazas previas al ransomware en sus redes, dice.

El ransomware sigue vivo

Tal ayuda es vital porque los ataques de ransomware en infraestructura crítica están creciendo, dice Núñez.

“La superficie de ataque seguirá creciendo a medida que los servicios públicos y la infraestructura crítica estén más conectados o interconectados en línea”, señala. “Pasar a la nube también puede presentar algunos problemas, ya que este cambio puede hacer que sea más difícil monitorear las amenazas activas y evaluar las vulnerabilidades de manera oportuna”.

Un factor que podría complicar los esfuerzos para abordar el problema del ransomware es la creciente tendencia de las víctimas a retrasar la notificación de un incidente o a ocultarlo por completo si es posible.

Según BlackFog, su investigación indica que las organizaciones preocupadas por el daño potencial a sus marcas, reputación y relaciones con los clientes están retrasando y, a veces, no informan sobre un incidente de ransomware.

“Ahora vemos que más del 90 % de todos los ataques ya no cifran los dispositivos de la víctima, sino que simplemente filtran los datos y extorsionan a todos”, dice Darren Williams, director ejecutivo y fundador de BlackFog. “Los costos de exposición son simplemente demasiado altos; la pérdida de negocios, la remediación, las multas reglamentarias y las demandas colectivas son solo algunos de los problemas a los que hay que hacer frente”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
• Fuente: https://www.darkreading.com/ics-ot/2-years-after-colonial-pipeline-attack-us-critical-infrastructure-remains-as-vulnerable-to-ransomware