South Staffordshire Plc, la empresa matriz de las empresas de servicios públicos Cambridge Water y South Staffordshire Water, aseguró a sus 1,6 millones de clientes que sus suministros de agua son seguros luego de un aparente ataque de ransomware Clop (también conocido como Cl0p) que la pandilla parece haber afirmado erróneamente como contra un organización completamente diferente.
El ataque se desarrolló el lunes 15 de agosto, pero según el investigador de seguridad Daniel Card, quien descubrió la atribución de la brecha en el sitio de filtraciones de la web oscura de Clop, la pandilla parecía tener la impresión de que estaba atacando y extorsionando a Thames Water, que brinda servicios a propiedades en Londres. y el sureste de Inglaterra.
Al momento de escribir este artículo, no estaba claro cómo la pandilla logró identificar erróneamente a su víctima, pero desafortunadamente, su atribución errónea fue detectada y ejecutada por El expresoentre otros medios, aunque desde entonces el tabloide se ha retractado de esta información errónea.
En capturas de pantalla compartidas con Computer Weekly por los investigadores de Searchlight Security, Clop criticó a Thames Water, acusándola de malas prácticas y alentando a los clientes a demandarla. Afirmó haber estado dentro de los sistemas de la empresa durante meses y que se había puesto en contacto con la víctima y exigió dinero, pero “no están interesados en arreglar”, lo que no sorprende dado que la pandilla no ha pirateado Thames Water.
Decía: “Clop no es una organización política y no atacamos infraestructura crítica u organizaciones de salud. Decidimos que no encriptamos a esta empresa, pero les mostramos que tenemos acceso a más de 5 TB de datos. Todos los sistemas, incluidos SCADA y estos sistemas que controlan los productos químicos en el agua. Si te sorprende, es bueno”.
Si la pandilla tiene la capacidad de controlar la composición química del agua, como implica su declaración, esto sugeriría que puede tener acceso a los sistemas de tecnología operativa (OT) de South Staffordshire, así como a su TI.
En un comunicado, South Staffordshire confirmó que fue víctima de un “ataque cibernético criminal”, aunque no nombró explícitamente a Clop.
“Como era de esperar, nuestra prioridad número uno es continuar manteniendo los suministros públicos de agua segura”, dijo un vocero. “Este incidente no ha afectado nuestra capacidad de suministrar agua segura y podemos confirmar que todavía estamos suministrando agua segura a todos nuestros clientes de Cambridge Water y South Staffs Water.
“Esto es gracias a los sólidos sistemas y controles sobre el suministro y la calidad del agua que tenemos implementados en todo momento, así como al rápido trabajo de nuestros equipos para responder a este incidente e implementar las medidas adicionales que hemos implementado de manera preventiva. base.
“Estamos experimentando interrupciones en nuestra red de TI corporativa y nuestros equipos están trabajando para resolver esto lo más rápido posible. Es importante recalcar que nuestros equipos de atención al cliente están funcionando con normalidad.
“Estamos trabajando en estrecha colaboración con las autoridades gubernamentales y reguladoras pertinentes y las mantendremos actualizadas, así como a nuestros clientes, a medida que continúen nuestras investigaciones”.
Un portavoz de Thames Water dijo: “Somos conscientes de los informes en los medios de que Thames Water se enfrenta a un ataque cibernético. Queremos asegurarle que este no es el caso y lamentamos si los informes han causado angustia.
“Como proveedores de un servicio esencial, nos tomamos muy en serio la seguridad de nuestras redes y sistemas y nos enfocamos en protegerlos, para que podamos continuar brindándole los servicios y el soporte que necesita de nosotros”.
Ian Parsons, analista de inteligencia de amenazas cibernéticas de Bridewell, comentó: “Dado que la mayor parte de Gran Bretaña enfrenta condiciones de sequía, cualquier interrupción en el servicio de las compañías de agua podría tener consecuencias de largo alcance. Aunque los operadores de ransomware no son exclusivos en su objetivo, esto hace que el incentivo para pagar cualquier demanda de rescate sea más probable.
“No se pueden descartar los actores del estado nación, especialmente porque los ataques anteriores a los suministros de agua se han relacionado con actores de amenazas sofisticados. La interrupción de la infraestructura nacional crítica es un objetivo atractivo para los grupos de estados nación. Sin embargo, esto es menos probable en este caso.
“Ya ha habido varios ataques a nuestra infraestructura nacional crítica [CNI] en 2022 y una investigación reciente de Bridewell muestra que la industria de servicios públicos sigue siendo un sector de CNI muy específico en el Reino Unido”.
Parsons dijo que cualquier vulnerabilidad explotable en los sistemas de suministro de agua plantea claramente peligros significativos en términos de riesgo para la salud y la seguridad públicas, lo que hace que sea aún más importante que las compañías de agua hagan todo lo posible para garantizar la seguridad.
“Si bien los equipos e ingenieros de seguridad hacen un trabajo fantástico para administrar un ecosistema de seguridad complejo, el problema es que muchos de los sistemas que se utilizan actualmente se construyeron priorizando la eficiencia sobre la seguridad”, dijo. “Para impulsar con éxito las mejoras de seguridad cibernética, los operadores enfrentan el desafío de mantener el tiempo de actividad del sistema mientras se someten a actualizaciones operativas y técnicamente complejas.
“Para desarrollar la resiliencia cibernética, las organizaciones deben implementar un sólido proceso de transformación de la seguridad cibernética, utilizando el Marco de Evaluación Cibernética del NCSC y las Regulaciones NIS como guía. Al combinar las mejores prácticas con técnicas modernas como la inteligencia de amenazas para planificar los adversarios modernos, los proveedores de servicios públicos pueden aumentar la confianza y la eficacia contra tales amenazas”.
El CEO de Censornet, Ed Macnair, agregó: “Evitar que los datos confidenciales y la propiedad intelectual se filtren en manos de los ciberdelincuentes es vital para garantizar el suministro seguro de agua, particularmente en una sequía. Los atacantes siempre están buscando formas de causar el máximo daño, interrupción y, por supuesto, obtener información personal valiosa. Y están trayendo cada vez más la lucha al dominio público.
“Una vez más, recordamos por qué es importante detener el ransomware antes de que tenga la oportunidad de afianzarse. Aquellos que pagan tienen estadísticamente más probabilidades de ser atacados nuevamente: el 20% de las empresas del mercado medio terminan pagando un rescate a los piratas informáticos y el pago promedio es de £ 144,000. Responder al ransomware se reduce a limitar el daño a la reputación y financiero de la infracción, mientras se consideran cuidadosamente las implicaciones éticas y legales de pagar una demanda.
“A medida que los ataques de ransomware continúan volviéndose más sofisticados, la capacidad de reaccionar con velocidad y precisión es imperativa. Las organizaciones deben cerrar cualquier brecha en su postura de seguridad para que las ciberdefensas puedan trabajar juntas a la velocidad del rayo para detener el ransomware y negar a los ciberdelincuentes cualquier oportunidad de extorsión”.
Clop resurgente
Aunque sufrió un gran revés el año pasado después de que las autoridades ucranianas detuvieran a varios miembros de la pandilla, Clop, que estuvo implicada en una serie de ataques en la primavera de 2021 luego de un ataque a la cadena de suministro en la plataforma de transferencia de archivos FTA heredada de Acellion, la pandilla Clop tiene mantuvo su actividad.
De hecho, según los datos de Trend Micro publicados a principios de 2022, las detecciones de Clop se mantuvieron altas después del derribo, mientras que una investigación más reciente de NCC sugiere que la pandilla volvió a formarse en la primavera, con un aumento de las víctimas nombradas de una en marzo a 21 en abril, lo que lo convierte en uno de los actores de amenazas más activos durante el período.
Su sector más objetivo en este momento parece ser las organizaciones industriales (se podría decir que South Staffs es una de esas organizaciones), que representan casi la mitad de sus víctimas, aunque la pandilla también está interesada en comprometer a las empresas tecnológicas.
“El aumento en la actividad de Clop parece sugerir que han regresado al panorama de amenazas”, dijo Matt Hull, líder global de NCC para inteligencia de amenazas estratégicas. “Las organizaciones dentro de los sectores más específicos de Clop, en particular, la industria y la tecnología, deben considerar la amenaza que presenta este grupo de ransomware y estar preparados para ello”.
