BlackCat ransomware implicado en ataque a compañías petroleras alemanas

Un informe interno de la Oficina Federal para la Seguridad de la Información (BSI, por sus siglas en inglés) dijo que el grupo de ransomware BlackCat estaba detrás del reciente ataque cibernético a dos compañías petroleras alemanas que está afectando a cientos de estaciones de servicio en el norte de Alemania.

periódico alemán Handelsblatt logró obtener el informe interno que decía que los «sistemas de Oiltanking fueron comprometidos por el ransomware BlackCat a través de una puerta de enlace previamente desconocida».

Claudia Wagner, jefa de comunicaciones de Oiltanking GmbH, no confirmó que BlackCat estuviera detrás del ataque, pero dijo que descubrieron el ciberincidente inicial el sábado 29 de enero.

«Al enterarnos del incidente, tomamos medidas de inmediato para mejorar la seguridad de nuestros sistemas y procesos e iniciamos una investigación sobre el asunto. Estamos trabajando para resolver este problema de acuerdo con nuestros planes de contingencia, así como para comprender el alcance total de El incidente. Estamos realizando una investigación exhaustiva, junto con especialistas externos y estamos colaborando estrechamente con las autoridades pertinentes. Todas las terminales continúan operando de manera segura.

«Los terminales de Oiltanking Deutschland GmbH & Co. KG están operando con capacidad limitada y han declarado fuerza mayor. Mabanaft Deutschland GmbH & Co. KG también ha declarado fuerza mayor para la mayoría de sus actividades de suministro interior en Alemania. Todas las partes continúan trabajando para restaurar operaciones a la normalidad en todas nuestras terminales lo antes posible».

El martes, Royal Dutch Shell dijo que se vio obligada a desviarse a diferentes depósitos de suministro debido al problema. Handelsblatt dijo que 233 estaciones de servicio en toda Alemania ahora tienen que ejecutar algunos procesos manualmente debido al ataque.

También: Vulnerabilidades de Apple, SonicWall, Internet Explorer añadidas a la lista CISA

El año pasado, el gigante petrolero estadounidense Colonial Pipeline se enfrentó a un devastador ataque de ransomware que paralizó sus servicios comerciales y dejó partes significativas de la costa este sin acceso a gas durante menos de una semana. El grupo de ransomware Darkside finalmente fue nombrado como el culpable, y algunos expertos creen que el grupo ha cambiado de nombre varias veces para eludir el escrutinio de las fuerzas del orden.

El analista de amenazas de Emsisoft, Brett Callow, dijo que hay vínculos que vinculan a Darkside con otro grupo de ransomware, BlackMatter, que se hizo un nombre el verano pasado y el otoño pasado al atacar a organizaciones agrícolas.

«Es probable que BlackCat, o ALPHV, sea un cambio de marca de BlackMatter, que en sí mismo era un cambio de marca de Darkside», dijo Callow. «Intel sugiere que las personas detrás de la operación despidieron a sus desarrolladores después del error que les costó a ellos, y a sus afiliados, varios millones. Se reclutaron nuevos desarrolladores y fueron responsables del desarrollo de BlackCat».

La semana pasada, la Unidad 42 de Palo Alto Networks lanzó una inmersión profunda en el ransomware BlackCat, que surgió a mediados de noviembre de 2021 como un grupo innovador de ransomware como servicio (RaaS) que aprovecha el lenguaje de programación Rust y ofrece a los afiliados 80-90 % de los pagos de rescate.

Se ha visto a BlackCat apuntando a sistemas Windows y Linux, según Unit 42, que agregó que ha observado afiliados que piden rescates de hasta $ 14 millones. En algunos casos, los afiliados han ofrecido descuentos de $9 millones si el rescate se paga antes del tiempo establecido. Permiten pagar el rescate en Bitcoin y Monero.

La Unidad 42 descubrió que al menos el 16,7% de las víctimas de los grupos tenían su sede en Alemania. La semana pasada, se reveló que la marca de moda italiana Moncler fue víctima de BlackCat desde diciembre.

captura-de-pantalla-2022-01-27-a-las-6-52-14-pm.png

Unidad 42

El incidente con Oiltanking sigue a otro ataque cibernético contra la firma de logística alemana de mil millones de dólares Hellmann Worldwide Logistics que tuvo lugar en diciembre.

James Carder, director de seguridad de LogRhythm, dijo que el ataque a Oiltanking es un ejemplo perfecto de cómo los ataques cibernéticos pueden ir más allá de la entidad objetivo e interrumpir la cadena de suministro más grande.

«En este caso, la distribuidora de petróleo suministra combustible a 26 empresas en Alemania, incluida Shell, que opera más de 1.900 gasolineras en el país», dijo Carder.

“Si bien el suministro de combustible no se ha visto afectado en el ataque, el impacto sigue siendo consecuente con los sistemas de TI responsables de la automatización de los procesos de carga y descarga de tanques, algo que no se puede hacer manualmente, por lo que se ve obligado a desconectarse por el momento. Los 13 patios de tanques que Oiltanking opera actualmente no puede servir camiones, por lo que la empresa ha recurrido a métodos alternativos. El impacto económico de los ataques cibernéticos que afectan a la cadena de suministro en general puede resultar extremadamente perjudicial».

Deja un comentario