Protegiendo la infraestructura crítica: cómo la IA neutralizó un ataque de ransomware de "doble extorsión" sin firma

David Masson, Director of Enterprise Security 

Publicado 01/06/2021

En la conferencia de seguridad cibernética RSAC de 2021, el secretario de Seguridad Nacional de EE. UU., Alejandro Mayorkas, hizo una declaración histórica sobre el panorama de la seguridad cibernética: "Permítanme ser claro: el ransomware ahora representa una amenaza para la seguridad nacional".

En días pasados, las palabras de Mayorkas se tradujeron en hechos. Un ataque de ransomware a Colonial Pipeline, responsable de casi la mitad del diésel, la gasolina y el combustible para aviones de la costa este de EE. UU., provocó el cierre de toda una red crítica de combustible que abastece a varios estados del este.

Las consecuencias del ataque demostraron lo generalizadas y dañinas que pueden ser las consecuencias del ransomware. Contra infraestructuras críticas y servicios públicos, los ciberataques tienen el potencial de interrumpir los suministros, dañar el medio ambiente e incluso amenazar vidas humanas.

Aunque aún no se han confirmado todos los detalles, se informa que el ataque fue realizado por un grupo de ciberdelincuentes llamado DarkSide, quienes probablemente aprovecharon herramientas comunes de remote desktop. El acceso remoto se ha habilitado como una vulnerabilidad explotable dentro de las organizaciones de infraestructura nacional por el cambio al trabajo remoto que hicieron muchas fuerzas laborales el año pasado, incluidas las que operan sistemas de control industrial (ICS) y tecnologías de operación (OT).

 

El ascenso del ransomware industrial

El ransomware contra entornos industriales está en aumento, con un incremento del 500% desde 2018. A menudo, estas amenazas aprovechan la convergencia de los sistemas de TI y OT, primero apuntando a TI antes de pasar a OT. Esto pudo observarse con el ransomware EKANS, que incluyó protocolos ICS en su "lista de eliminación", así como con el ransomware Cring que amenazaba las ICS después de explotar por primera vez una vulnerabilidad en una red privada virtual (VPN).

Además de bloquear los sistemas, los delincuentes también robaron 100 GB de datos confidenciales de la organización. Este tipo de ataque de doble extorsión, en el que los datos se exfiltran antes de cifrar los archivos se han convertido en la norma más que en la excepción, incluyendo a más del 70% de los ataques de ransomware que involucran exfiltración. Algunas bandas de ransomware incluso han anunciado que están abandonando el cifrado por completo en favor del robo de datos y los métodos de extorsión.

En la primera parte del año, Darktrace, la empresa líder en IA de ciberseguridad autónoma neutralizó un ataque de ransomware de doble extorsión contra una organización de infraestructura crítica, que también aprovechó herramientas comunes de acceso remoto.

 

El ataque de ransomware contra proveedor de equipos eléctricos

En un ataque contra un proveedor norteamericano de equipos para empresas eléctricas a principios de este año, el Darktrace Industrial Immune System demostró su capacidad para proteger la infraestructura crítica contra el ransomware de doble extorsión que se dirigía a organizaciones con ICS y OT.

El ataque de ransomware inicialmente se dirigió a los sistemas de TI y, gracias al autoaprendizaje de Cyber ​​AI, fue detenido antes de que pudiera extenderse a OT e interrumpir las operaciones.

El atacante comprometió primero un servidor interno para exfiltrar datos e implementar ransomware en el transcurso de 12 horas. El breve periodo de tiempo entre el ataque inicial y la implementación es inusual, ya que los ejecutores de amenazas de ransomware suelen esperar varios días para propagarse sigilosamente lo más lejos posible del ecosistema cibernético antes de atacar.

Darktrace observa comúnmente el abuso de software legítimo de administración remota en el arsenal de técnicas, tácticas y procedimientos de los atacantes. El acceso remoto también se está convirtiendo en un vector de ataque cada vez más común en los ataques a ICS en particular. Por ejemplo, en el ciberincidente en la planta de tratamiento de agua de Florida en febrero pasado, donde los atacantes intentaron explotar una herramienta de administración remota para manipular el proceso de tratamiento de agua.

La única forma de detectar amenazas nunca antes vistas, como el ransomware sin firma, es mediante una tecnología que encuentre comportamientos anómalos, en lugar de depender de listas de ataques conocidos. Esto se puede lograr con la tecnología de autoaprendizaje, que detecta incluso las desviaciones más sutiles de los "patrones de vida" normales para todos los dispositivos, usuarios y todas las conexiones entre ellos.

 

El primer indicador claro de amenaza alertado por Darktrace fue el uso inusual de una credencial privilegiada. El dispositivo también proporcionó una conexión inusual de protocolo de escritorio remoto (RDP) desde un servidor de Veeam poco antes del incidente, lo que indica que el atacante puede haberse movido lateralmente desde otra parte de la red.

Tres minutos después, el dispositivo inició una sesión de gestión remota que duró 21 horas. Esto permitió al atacante moverse a través del ecosistema cibernético más amplio sin ser detectado por las defensas tradicionales. Sin embargo, Darktrace pudo detectar un uso inusual de administración remota como otra advertencia temprana indicativa de un ataque.

 

Viendo hacia el futuro: Estados Unidos usará IA de autoaprendizaje para proteger transversalmente la infraestructura crítica

A finales de abril, la administración Biden anunció un ambicioso esfuerzo para "salvaguardar la infraestructura crítica de Estados Unidos de amenazas persistentes y sofisticadas". El plan de 100 días del Departamento de Energía (DOE) busca específicamente tecnologías "que proporcionarán visibilidad cibernética, detección y capacidades de respuesta para los sistemas de control industrial de las empresas eléctricas".

El reto cibernético de la administración Biden claramente exige una tecnología que proteja la infraestructura energética crítica, en lugar de limitarse a medidas y normas de mejores prácticas. Como se ve en el hallazgo de amenazas anterior, Darktrace AI es una tecnología poderosa que aprovecha el machine learning no supervisado para salvaguardar de manera autónoma la infraestructura crítica y sus proveedores con velocidad y precisión de máquina.