El reciente ataque de ransomware a HSE, el mayor proveedor de energía en Eslovenia, ha generado preocupación y conciencia sobre la seguridad cibernética en sectores críticos. En este artículo te explicaremos lo que sucedió, analizaremos las implicaciones de seguridad y ofreceremos lecciones esenciales para empresas y organizaciones.
Las empresas de energía son uno de los sectores más vulnerables y atractivos para los atacantes de ransomware, ya que gestionan infraestructuras críticas que suministran electricidad, gas, agua o petróleo a millones de personas y negocios. Un ataque de ransomware puede provocar cortes de suministro, daños en los equipos, pérdidas económicas y riesgos para la seguridad y el medio ambiente
Un ejemplo reciente:
La principal compañía de generación de energía eléctrica en Eslovenia, Holding Slovenske Elektrarne (HSE), experimentó un ataque de ransomware que comprometió sus sistemas y cifró archivos. A pesar de esto, HSE aseguró que la producción de energía eléctrica no se vio interrumpida. HSE es una infraestructura crítica en el país, representando aproximadamente el 60% de la producción nacional de energía.
Fundada en 2001 por el Gobierno de Eslovenia y propiedad del Estado, HSE opera varias plantas de energía, incluyendo hidroeléctricas, térmicas y solares, así como minas de carbón en todo el país y filiales en Italia, Serbia y Hungría. El ataque de ransomware ocurrió el miércoles pasado y fue finalmente contenido el viernes 24 de noviembre. Aunque los sistemas informáticos y los archivos quedaron "bloqueados" por el "criptovirus", la generación de energía no se vio afectada.
HSE informó del ataque a las autoridades pertinentes y tomó medidas para mitigar el ataque y evitar su propagación a otros sistemas en Eslovenia. Hasta el momento, no se ha recibido una demanda de rescate, pero se mantiene la alerta máxima mientras se limpia el sistema.
El director de la Oficina de Seguridad de la Información, Uroš Svete, y el director general de HSE, Tomaž Štokelj, emitieron una declaración conjunta asegurando que la situación está bajo control y que no se esperan interrupciones operativas ni daños económicos significativos debido a este incidente.
Te podrá interesar leer: Detección de Ataques de Ransomware con Wazuh
Según fuentes no oficiales compartidas con los medios locales, se atribuye el ataque a la banda de ransomware Rhysida, que ha estado activa recientemente. Rhysida ha sido objeto de advertencias por parte del FBI y el CISA debido a sus Técnicas, Tácticas y Procedimientos (TTP).
Si Rhysida está detrás del ataque, esto podría explicar por qué HSE no ha recibido una demanda de rescate clara, ya que las notas de rescate de Rhysida solo contienen una dirección de correo electrónico para contactar a los actores de la amenaza sin especificar una cantidad monetaria.
Se informa que los operadores de ransomware obtuvieron acceso a los sistemas de HSE al robar contraseñas desde una instancia de almacenamiento en la nube desprotegida.
Hasta el momento, no se ha obtenido una respuesta de HSE en relación con estas acusaciones. Rhysida, que apareció por primera vez en mayo de 2023, ha llevado a cabo ataques contra organizaciones de alto perfil, incluyendo el ejército chileno, Prospect Medical y la Biblioteca Británica. También han subastado datos supuestamente robados por 50 BTC (1.840.000 dólares) de un conglomerado de energía eléctrica estatal chino en su sitio de filtración de datos.
Nota de Rescate de Rhysida
Te podrá interesar leer: Alerta del FBI y CISA: Ransomware Rhysida Ataca Oportunamente
Este incidente destaca varias cuestiones clave en cuanto a seguridad cibernética:
Vulnerabilidades en Infraestructuras Críticas: El ataque a HSE subraya la vulnerabilidad de infraestructuras críticas ante amenazas cibernéticas.
Necesidad de Estrategias de Respuesta: La rápida respuesta de HSE demuestra la importancia de tener planes de acción preestablecidos.
Impacto Más Allá de la Empresa: Un ataque de este tipo no solo afecta a la compañía, sino también a la población y economía nacionales.
Te podrá interesar leer: GERT: Respuesta Efectiva a Incidentes de Ciberseguridad
Evaluación Continua de Riesgos: Las organizaciones deben realizar evaluaciones periódicas de sus sistemas para identificar y mitigar vulnerabilidades.
Educación y Conciencia en Seguridad Cibernética: La formación continua del personal en buenas prácticas de seguridad es esencial.
Planes de Respuesta a Incidentes: Tener un plan de respuesta a incidentes cibernéticos es crucial para minimizar el daño.
Respaldo y Recuperación de Datos: Mantener copias de seguridad actualizadas y accesibles puede ser la diferencia entre una rápida recuperación y una pérdida catastrófica.
El ataque de ransomware a HSE no es un evento aislado, sino un recordatorio de la constante amenaza cibernética que enfrentan las infraestructuras críticas. La comprensión de estos incidentes y la preparación para enfrentarlos son esenciales para la seguridad y el bienestar de nuestras sociedades. Este caso nos enseña la importancia de una seguridad cibernética robusta y proactiva en todos los sectores.