Una serie de ciberataques dirigidos a terminales de distribución de petróleo y otras instalaciones en Europa tiene a las autoridades en alerta máxima, dado el aumento de los precios del combustible y la amenaza de interrupción del suministro en caso de que la crisis política en Ucrania se convierta en un conflicto.
El primer incidente que salió a la luz tuvo lugar en dos compañías petroleras alemanas, OilTanking y Mabanaft, que operan bajo la misma matriz con sede en Hamburgo, Marquard & Bahls, un especialista en logística. Este ataque en curso, que, según ha surgido, es muy probable que sea obra del grupo de ransomware BlackCat, ha tenido un pequeño impacto en el suministro minorista de combustible en Alemania.
Ahora está surgiendo que también se están produciendo una serie de otros ataques, afectando terminales petroleras pertenecientes a varias organizaciones que operan en los puertos de Amberes y Gante en Bélgica, y Ámsterdam y Terneuzen en los Países Bajos. Estas instalaciones son operadas por las organizaciones de logística y envío SEA-tank, parte del grupo SEA-invest más grande, y Evos, a la que OilTanking vendió varias instalaciones el año pasado, así como también OilTanking.
Los incidentes están afectando principalmente la carga y descarga de carga en las instalaciones afectadas, y se puede esperar que si las operaciones normales no se reanudan pronto, estos impactos se extenderán al sector de transporte y logística.
Se entiende que las autoridades belgas y el Centro Nacional de Seguridad Cibernética de los Países Bajos están investigando los incidentes y cuentan con el apoyo de Europol. Un portavoz del NCSC holandés le dijo a Computer Weekly que no creía que los ataques fueran coordinados, pero continúa monitoreando la situación. Europol no hizo más comentarios que confirmar su participación.
Dominic Trott, gerente de producto del Reino Unido en Orange Cyberdefense, comentó: “La infraestructura nacional crítica [CNI] se está convirtiendo en un objetivo cada vez más popular para los actores malintencionados debido a los efectos devastadores que pueden tener los tiempos de inactividad y los retrasos en este sector. Solo tiene que mirar hacia atrás a la crisis del combustible del año pasado o al ataque al proveedor estadounidense Colonial Pipeline para ver esto en acción.
“En este ataque, los impactos ya se han extendido mucho más allá de los tres países en los que se basan estas empresas, y la naturaleza conectada de las cadenas de suministro globales da como resultado que los puertos en África y en toda Europa también se vean afectados”.
Aunque es demasiado pronto en cualquier investigación para establecer necesariamente vínculos entre esta serie de incidentes, es posible que se estén desarrollando varios escenarios posibles, de los cuales el más impactante sería claramente un vínculo con la crisis de Ucrania. El conflicto armado en Ucrania probablemente afectaría el suministro de combustibles fósiles de Rusia a Europa y ciertamente es posible que se trate de algún tipo de operación avanzada.
Dennis Hackney, jefe de desarrollo de servicios de seguridad cibernética industrial en la consultora de riesgos ABS Group, reiteró que en esta etapa, los ataques no pueden atribuirse a ningún grupo de amenazas persistentes avanzadas (APT) sin clasificar o conocido respaldado por Rusia. “Sin embargo”, dijo, “estos ataques están en línea con las tácticas y técnicas que Rusia ha usado en el pasado. Históricamente, cuando la agenda rusa se ve comprometida, surgen ataques cibernéticos que afectan el suministro de gas y petróleo de Europa”.
Igualmente posible, y quizás más probable dada la posible participación del grupo de ransomware BlackCat, que tiene vínculos con REvil, es que los incidentes estén vinculados a través de una pieza de software comprometida utilizada por todas las víctimas: un clásico ataque a la cadena de suministro similar a la perpetrada por REvil en Kaseya.
Lo que está claro es que las organizaciones denominadas CNI, que incluyen la distribución de suministros de combustible, están uniformemente en alto riesgo. De hecho, una investigación realizada por Bridewell Consulting sugiere que el 86 % de las organizaciones de CNI han detectado ataques cibernéticos en su tecnología operativa (OT) o sistemas de control industrial (ICS) en los últimos 12 meses, y el 93 % de ellos dice que al menos uno de esos intentos había pasado.
De manera preocupante, la investigación también sugirió un grado de confianza fuera de lugar, con claras mayorías que dijeron que confiaban en que sus sistemas OT estaban completamente protegidos. Bridewell dijo que había evidencia de dependencia en la infraestructura heredada envejecida y demasiada confianza en los proveedores.
“Las vulnerabilidades de seguridad, si bien son difíciles de remediar dentro de algunas organizaciones de CNI, podrían tener implicaciones graves, no solo en términos de multas monetarias sustanciales, sino también riesgos para la seguridad pública e incluso la pérdida de vidas, por lo que las organizaciones simplemente no pueden darse el lujo de ser complacientes”, dijo Bridewell. codirector ejecutivo Scott Nicholson.
“La legislación como la Directiva NIS y las Regulaciones NIS sin duda han ayudado a mejorar la seguridad cibernética en el sector, pero aún hay margen de mejora”.
Este artículo se actualizó a las 15:24 del viernes 4 de enero para corregir una cita mal atribuida a Dennis Hackney de ABS Group y para agregar información adicional de Europol y el NCSC holandés.