Un oleoducto crítico que va desde las refinerías en la costa del Golfo de México hasta terminales tan al norte como Nueva York tuvo que ser cerrado después de ser golpeado por un ataque masivo de ransomware, una forma de malware que está en auge y se usa para bloquear los archivos o dispositivos de los usuarios, para reclamar un pago online.

El incidente es investigado por la Casa Blanca, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad y la Agencia de Seguridad Nacional (NSA), organismos que sospechan de un grupo relativamente nuevo pero oscuro de piratas informáticos y ciberdelincuentes veteranos que desarrollaron un software de ransomware conocido como DarkSide.

La magnitud del ataque obligó al presidente Joe Biden a realizar declaraciones ante la prensa acreditada en la Casa Blanca este lunes: "Mi administración se toma esto muy en serio", afirmó.

La víctima del ciberataque pirata es Colonial Pipeline Co., una empresa que opera un oleoducto de 8.851 kilómetros que entrega el 45% de la gasolina y el combustible para aviones suministrados a la costa este de Estados Unidos

Fue la propia empresa la que tuvo que reconocer el viernes que había sido víctima de un ataque de ransomware.

En respuesta, la compañía "desconectó ciertos sistemas para contener la amenaza", dijo en un comunicado. Y agregó que esas acciones "detuvieron temporalmente todas las operaciones del oleoducto y afectaron algunos de nuestros sistemas de TI, que estamos activamente en el proceso de restaurar".

Cómo fue el ciberataque al oleoducto

La BBC informó que la red de Colonial se vio comprometida el jueves y casi 100 gigabytes de datos fueron tomados como rehenes. Según los informes, los piratas informáticos bloquearon los datos en algunas computadoras y servidores y amenazan con filtrarlos a Internet si no se paga el rescate no revelado.

La brecha provocó que la empresa cerrara las operaciones del que es el mayor oleoducto de Estados Unidos.

El ataque, informó Bloomberg, pudo ser detenido por un pequeño grupo de empresas del sector privado, con la ayuda de varias agencias estadounidenses, que permitieron a Colonial y a otras más de dos docenas de otras víctimas recuperar parte de los datos robados, que se dirigían a Rusia, que se cree que es el destino final, según tres personas involucradas o informadas sobre la investigación.

La respuesta del gobierno de Biden 

En una conferencia de prensa en la Casa Blanca el lunes, la asesora de seguridad nacional Elizabeth Sherwood-Randall dijo que Colonial había cerrado el oleoducto como una "medida de precaución" para "garantizar que el ransomware no pueda transferirse de los sistemas comerciales a los que controlan y operan el oleoducto".

El lunes, el FBI en un breve comunicado dijo que "confirma que el ransomware Darkside es responsable del compromiso de las redes Colonial Pipeline".

En la sesión informativa de la Casa Blanca, Anne Neuberger, asesora adjunta de seguridad nacional para cibernética y tecnología emergente, describió el ataque como "ransomware como una variante de servicio" en el que "los afiliados criminales realizan ataques y luego comparten los ingresos con los desarrolladores del ransomware".

Además, describió este tipo de ataque como "nuevo y preocupante" y dijo que el FBI había estado investigando DarkSide desde octubre.

Cómo ataca DarkSide

El sitio web Bleeping Computer, que cubre tecnología informática, publicó en agosto un artículo presentando DarkSide y diciendo que el grupo había comenzado los ataques ese mes.

El sitio web publicó un "comunicado de prensa" que pretendía ser de DarkSide que decía que el grupo "solo atacará a las empresas que puedan pagar la cantidad solicitada, no queremos acabar con su negocio".

"Basándonos en nuestros principios", continuó, "no atacaremos" hospitales, escuelas y universidades, organizaciones sin fines de lucro y el sector gubernamental.

DarkSide, en el supuesto comunicado de prensa, amenazó con publicar los datos que bloquea y enviar una notificación de la filtración a "los medios y sus socios y clientes" y con "nunca proporcionarle descifradores" a menos que se pague el rescate.