Recope desconoce cuándo restablecerá sistemas impactados por ciberataque

La Refinadora Costarricense de Petróleo (Recope) desconoce cuándo podrá normalizar los sistemas de información afectados tras el ciberataque registrado el miércoles 27 de noviembre.

La emergencia provoca que desde ese día la empresa estatal realice la mayoría de las operaciones de forma manual. Así ocurre con la venta de hidrocarburos, pues la plataforma Petroweb (utilizada por los clientes que comercializan el producto) está fuera de servicio.

Rodolfo González Blanco, gerente de Administración y Finanzas de Recope, emitió el pasado viernes 6 de diciembre un hecho relevante ante la Superintendencia General de Valores (Sugeval) en el que explicó la situación que atraviesa la entidad y confirmó que no existe un plazo para normalizar las operaciones.

"Recope comunica que a partir del miércoles 27 de noviembre se presentó una afectación en varias soluciones tecnológicas que operan en la infraestructura local de la empresa. De acuerdo con la valoración del Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) se determinó que se trataba de un ciberataque. Por tal razón, se decidió apagar la infraestructura tecnológica, con la finalidad de contenerlo y determinar la afectación y su posterior recuperación.

"Con el propósito de garantizar la seguridad energética de Costa Rica, Recope activó protocolos de funcionamiento manuales. A fin de no afectar el abastecimiento oportuno y seguro de los combustibles para el desarrollo socioeconómico del país. Dada la magnitud del incidente, no es posible brindar una fecha estimada de normalización de las operaciones de forma total, por lo que éstas se irán regularizando paulatinamente", informó González.

Un día antes de la comunicación hecha a Sugeval, la compañía informó que ya había iniciado la recuperación de los sistemas a partir del restablecimiento paulatino de los servidores más importantes. Además, desde el miércoles se puso en funcionamiento una nueva red para facilitar el traslado de la información respaldada.

El viernes 6 de diciembre, el Micitt detalló que ya identificó el ransomware que afectó a la empresa estatal. "Logramos identificar el ransomware, llamado Hub, ahora lo que estamos logrando es llegar a quién fue el creador –es un ransomware as a service- y el origen del IP para ver dónde se originó. Estamos trabajando con el equipo de Estados Unidos que enviaron al país para, entre otras cosas, hacer esto", explicó Paula Bogantes Zamora, titular de esa cartera, quien reiteró que se trata de un ransomware como servicio, es decir, que se le contrata a un tercero para lanzar el ataque.

De momento, el grupo cibercriminal responsable del ataque aún no se ha identificado, pese a que solicitó un pago de $5 millones a cambio de liberar los sistemas atacados.

El RansomHub es una cepa cruzada de otros preexistentes que opera con el modelo de ransomware como servicio (RaaS).

"RansomHub, al igual que sus predecesores recientes, se basa en la doble extorsión, en la que un afiliado obtiene acceso inicial, roba la mayor cantidad posible de datos confidenciales y luego desata una carga útil de ransomware en su salida.

"La víctima tiene que lidiar con la doble pesadilla de no solo descodificar sus sistemas para devolver el acceso de empleados y clientes, sino también el dilema moral de pagar a los delincuentes para que impidan que se publiquen datos confidenciales", detalla la compañía de ciberseguridad Check Point sobre este tipo de sofisticados ciberataques.

En Recope posee una solución de seguridad avanzada basada en un EDR (Endpoint Detection and Response) instalada en todo el parque de computadoras y servidores de la empresa.

"Esta herramienta proporciona capacidades robustas de protección, detección y contención de amenazas, además de ofrecer un enfoque proactivo para la identificación, análisis y respuesta a incidentes en los endpoints. Por lo tanto, la solución EDR implementada brinda un conjunto más amplio de funcionalidades adaptadas a las necesidades actuales frente a las amenazas cibernéticas", señaló el Micitt.

Un total de 2.600 computadoras de la refinería tiene licencia EDR. La refinadora también cuenta con otra solución para prevenir los ataques de ransonware: MicroClaudia.

"El software de protección contra ransomware y ciberamenazas, MicroClaudia, está diseñado para brindar funciones clave, como la detección de actividades sospechosas, la prevención de ataques y la mitigación de riesgos asociados al ransomware. Desde junio del 2022, adquirimos e implementamos el software que asegura la cobertura de todas estas funciones. Sin embargo, con el pasar el tiempo hemos implementado herramientas aún más robustas diseñadas para responder a los riesgos específicos de una empresa del sector energético, la cual está instalada en el 100% de los equipos de cómputo de la empresa, garantizando una cobertura total", citó el ministerio.

De manera paralela, según Recope el análisis forense realizado por un laboratorio especializado en Estados Unidos presentaba un avance del 80% al jueves 5 de diciembre. Mientras tanto, los equipos informáticos se mantienen en cuarentena y se continuará con los procesos manuales en las operaciones.