AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**El grupo Qilin compromete a Conpet S.A.: filtración masiva de datos en el operador de oleoductos rumano**

admin

### Introducción

El sector energético europeo vuelve a estar en el punto de mira de los ciberdelincuentes. Conpet S.A., el operador nacional de oleoductos de Rumanía, ha confirmado recientemente haber sido víctima de un ataque de ransomware perpetrado por el grupo Qilin. El incidente resultó en la exfiltración de datos sensibles, lo que amplía la tendencia de ataques dirigidos a infraestructuras críticas y pone de manifiesto la necesidad de reforzar las estrategias de ciberseguridad en el sector energético.

### Contexto del Incidente

El ataque se produjo la semana pasada, cuando el grupo de ransomware Qilin, conocido por sus operaciones altamente organizadas y ataques dirigidos, consiguió infiltrarse en los sistemas de Conpet S.A. La compañía gestiona la red nacional de oleoductos de Rumanía y es responsable del transporte seguro de productos petrolíferos a lo largo del país, lo que la convierte en un objetivo de alto valor para actores maliciosos.

Qilin ya había reivindicado la autoría del ataque mediante la publicación de datos robados en su portal de filtraciones en la dark web. Desde Conpet S.A. se ha confirmado tanto la intrusión como la sustracción de información, aunque la empresa ha asegurado que la continuidad del servicio no se vio comprometida. El incidente se produce en un contexto de creciente presión regulatoria en la Unión Europea (NIS2, GDPR) y de un aumento en la sofisticación y frecuencia de ataques contra infraestructuras críticas.

### Detalles Técnicos

Según fuentes de inteligencia de amenazas y portales especializados, el ataque a Conpet S.A. presenta características típicas del modus operandi de Qilin. El grupo suele explotar vulnerabilidades conocidas en sistemas expuestos a Internet, habitualmente mediante spear phishing o mediante la explotación de servicios remotos inseguros (RDP, VPNs desactualizadas).

**Vectores de ataque y TTPs identificados:**

– **Explotación de vulnerabilidades conocidas**: Aunque no se ha publicado el CVE específico utilizado en este caso, Qilin es conocido por aprovechar vulnerabilidades como CVE-2023-34362 (MOVEit Transfer), CVE-2023-0669 (GoAnywhere MFT) o la cadena de vulnerabilidades de Microsoft Exchange ProxyShell.
– **TTPs asociados** (MITRE ATT&CK): T1566 (Phishing), T1078 (Obtención de credenciales válidas), T1486 (Cifrado de datos para impacto), T1041 (Exfiltración de datos a través de canales externos).
– **Herramientas y frameworks**: En anteriores campañas, Qilin ha empleado Cobalt Strike para movimiento lateral y persistencia, así como herramientas personalizadas para la exfiltración y cifrado de datos. También se han detectado scripts automatizados para deshabilitar copias de seguridad y mecanismos de recuperación.
– **Indicadores de compromiso (IoC)**: la publicación de archivos sensibles en la web de filtraciones de Qilin, hashes de archivos maliciosos identificados y direcciones IP asociadas a la infraestructura de mando y control utilizada por el grupo.

Actualmente, las versiones de Windows Server 2012 y 2016 son especialmente vulnerables a los ataques de Qilin en organizaciones con parches pendientes y configuraciones obsoletas.

### Impacto y Riesgos

El impacto inmediato del ataque ha sido la fuga de información sensible de la empresa. Entre los datos exfiltrados, según lo publicado por Qilin, se encontrarían documentos internos, información financiera, listados de empleados y posiblemente detalles sobre la operación y seguridad de la red de oleoductos.

**Riesgos asociados:**
– Exposición de información estratégica y operativa.
– Potencial para ataques de ingeniería social dirigidos a empleados y socios.
– Vulnerabilidad ante ataques posteriores, como intentos de sabotaje o extorsión adicional.
– Riesgo de sanciones regulatorias por incumplimiento de GDPR y la inminente NIS2, especialmente si se demuestra la falta de medidas técnicas y organizativas adecuadas.
– Daño reputacional y pérdida de confianza de clientes y organismos reguladores.

### Medidas de Mitigación y Recomendaciones

Conpet S.A. ha indicado que activó su protocolo interno de respuesta a incidentes, aislando los sistemas afectados y notificando a las autoridades competentes. Sin embargo, el incidente subraya la importancia de implementar controles adicionales, entre ellos:

– Aplicación inmediata de parches de seguridad, especialmente en sistemas críticos y expuestos.
– Segmentación de red y restricción de accesos remotos.
– Implantación de doble factor de autenticación (2FA) en todos los accesos privilegiados.
– Monitorización continua mediante soluciones EDR y SIEM, con especial vigilancia sobre TTPs asociados a ransomware.
– Planes de backup offline y pruebas regulares de recuperación ante desastres.
– Formación periódica a empleados en ciberseguridad y simulacros de phishing.

### Opinión de Expertos

Según analistas de amenazas de la plataforma Mandiant, “Qilin representa una de las amenazas ransomware más adaptativas de 2024, capaz de pivotar rápidamente entre distintos sectores y geografías, y con un enfoque claro en la doble extorsión”. Desde ENISA se recalca la necesidad de que las infraestructuras críticas refuercen sus capacidades de detección temprana y respuesta ante incidentes, ante la inminente entrada en vigor de NIS2.

### Implicaciones para Empresas y Usuarios

Para el sector energético, este incidente actúa como recordatorio de la creciente profesionalización de los grupos de ransomware y su interés en infraestructuras críticas. Las empresas están obligadas, bajo GDPR y NIS2, a reportar brechas de datos y a demostrar la existencia de medidas de seguridad adecuadas, lo que podría derivar en sanciones económicas de hasta el 2% del volumen de negocio global anual en caso de incumplimiento.

A nivel operativo, los ataques a operadores de infraestructuras pueden derivar en interrupciones de servicio, costes de recuperación significativos (el coste medio de un ransomware en 2023 superó los 4,5 millones de euros) y pérdida de competitividad.

### Conclusiones

El ataque a Conpet S.A. reafirma la tendencia de los actores de ransomware a dirigir sus campañas contra infraestructuras críticas europeas, explotando debilidades en ciberseguridad y procesos internos. La implementación de una estrategia integral de defensa, la actualización tecnológica y el cumplimiento regulatorio son esenciales para mitigar riesgos y garantizar la resiliencia operativa frente a amenazas cada vez más sofisticadas.

(Fuente: www.bleepingcomputer.com)