Guardia Costera de los Estados Unidos sufre ataque de Ryuk Ransomware

La Guardia Costera de los Estados Unidos (USCG) publicó una alerta de seguridad marina para informar sobre un ataque de Ryuk Ransomware que destruyó toda la red corporativa de TI de una instalación regulada por la Ley de Seguridad del Transporte Marítimo (MTSA).

Si bien el incidente aún se está investigando actualmente, la USCG dice que un correo electrónico de phishing es probablemente el punto de entrada dentro de la red de las instalaciones de MTSA.

"Una vez que un empleado hizo clic en el enlace malicioso incrustado en el correo electrónico, el ransomware permitió que un actor de amenazas acceda a archivos importantes de la red de Tecnología de la Información (TI) de la empresa y los encripte, evitando el acceso de la instalación a archivos críticos", dice el USCG .

El USCG emitió otra alerta de seguridad en julio con orientación de seguridad cibernética después de que un incidente cibernético experimentado por un barco de calado profundo durante febrero afectó a toda la red del barco.

Tal como sucedió en la alerta de julio, la UCSC nuevamente les recuerda a las partes interesadas marítimas que verifiquen detenidamente la validez del remitente del correo electrónico antes de responder o abrir correos electrónicos no solicitados.

Operaciones cerradas por más de 30 horas.

Aunque el Boletín de información de seguridad marina (MSIB) no menciona el tipo de instalación o su nombre, es seguro asumir que debe ser un puerto ya que el ransomware logró infiltrarse en los sistemas de control industrial de transferencia de carga.

"El virus se enterró aún más en los sistemas de control industrial que monitorean y controlan la transferencia de carga y los archivos encriptados críticos para las operaciones de proceso", agrega el USCG.

Los sistemas encriptados por Ryuk Ransomware afectaron directamente la "red de TI corporativa completa de la instalación ( más allá de la huella de la instalación )" [énfasis nuestro] y los sistemas de control de cámaras y acceso físico, y también condujeron a la "pérdida de sistemas críticos de monitoreo de control de procesos". "

En general, el ataque obligó a la compañía a cerrar por completo las operaciones durante más de 30 horas durante la fase de respuesta al incidente cibernético.

La Guardia Costera recomienda que las instalaciones utilicen el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) y la Publicación Especial NIST 800-82 al implementar un Programa de Gestión de Riesgos Cibernéticos. - USCG

Ransomware y medidas de mitigación de brechas

La USCG proporciona las siguientes medidas para limitar futuras infracciones de las instalaciones de MTSA y reducir los tiempos de recuperación:

• Sistemas de detección de intrusiones y prevención de intrusiones para monitorear el tráfico de red en tiempo real •
Software de detección de virus actualizado y estándar de la industria
• Registro centralizado y monitoreado de host y servidor
• Segmentación de red para evitar que los sistemas de TI accedan al entorno de Tecnología Operativa (OT)
• Diagramas de red de TI / OT actualizados
• Copias de seguridad consistentes de todos los archivos y software críticos

El Centro Nacional de Seguridad Cibernética del Reino Unido también publicó un aviso en junio que detalla las campañas de Ryuk Ransomware dirigidas a organizaciones de todo el mundo, incluida la orientación sobre cómo protegerse contra los ataques de ransomware.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió su propio aviso sobre cómo prevenir y responder a las infecciones de ransomware , así como consejos sobre qué hacer después de una infección de ransomware.

Para empeorar las cosas para las personas y organizaciones afectadas por un ataque de Ryuk Ransomware, recientemente se descubrió que el descifrador de esta variedad tiene un error que podría conducir a la pérdida de datos en archivos grandes.

Por lo tanto, las víctimas de Ryuk siempre deben considerar hacer una copia de seguridad de todos sus datos cifrados antes del descifrado, para protegerlos si el descifrador los corrompe.


Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta