Crónica del ciberataque en APM Terminals Callao #Perú #BusinessContinuity #DisasterRecovery
APM Terminals Callao (APMTC) es el concesionario del Terminal Norte Multipropósito del Puerto del Callao (conocido como el Muelle Norte del Callao), para carga marítima general, que opera en el país desde el año 2016. El antepuerto de contenedores tiene 18,281 metros cuadrados y cuenta con un espacio de estacionamiento para 168 camiones en la entrada, y para 72 camiones en la salida.
El ataque
El pasado 27 de junio, el operador portuario fue víctima del ataque cibernético mundial que sufrió la casa matriz del grupo Maersk (Dinamarca), a la que pertenece. El ataque global de ransomware denominado "Petya" llegó a los servidores en Europa e India, afectando a todas las unidades de negocio de Maersk, incluyendo el transporte de contenedores, las operaciones portuarias y remolcadoras, la producción de petróleo y gas, los servicios de perforación y los petroleros, a nivel mundial. El malware se extendió a través de las operaciones globales de la compañía, llegando a impactar a APMTC en el Perú.
Bitácora del incidente
Todo comenzó en la madrugada del martes 27, a las 05:47 horas, momento en el que el personal que trabajaba en el turno de amanecida, en diferentes áreas de APMTC, comenzó a reportar errores en los sistemas de información. A las 6:09 horas se confirmó que se trataba de un virus masivo que estaría afectando los sistemas de todos los puertos del grupo Maersk. Casi de inmediato, llegó la orden corporativa (de la India) de desconectar todas las PCs y el servidor de archivos, a fin de contener la propagación del malware. A las 6:22 horas llegó otra orden para desconectar de la red todos los equipos de cómputo. A las 6:28 horas se confirmó que toda la red Maersk se había caído y se ordenó apagar el data center y no prender ninguna PC hasta nuevo aviso.
21:14 horas: El equipo de TI terminó de armar redes con laptops, preparadas desde cero, con Windows, antivirus y Excel, sin acceso a Internet, solamente para las áreas operativas más críticas, a fin de activar procedimientos alternativos manuales.
Al día siguiente (miércoles 28), las áreas de Contabilidad, Compras, Operaciones (procesos core) operaron de forma manual. En la zona de balanzas, se trabajó con el pesador manual, sin ingresar al sistema los datos de las cargas y los datos específicos de las agencias aduaneras que traían los contenedores; es decir, solo se verificaba el peso y los datos de la empresa "a lápiz y papel".
Durante ese día 28 se retiraron todas las PCs de todos los edificios administrativos y la zona de operación, para formatearlas y clonarlas con una nueva "imagen" creada desde cero.
Al no haber correo electrónico, se colocaron en las puertas y paredes, inclusive en los baños, mensajes instructivos e informativos para la población de usuarios y clientes:
El jueves 29, desde las 10 a. m., el equipo de TI comenzó a ejecutar un procedimiento enviado por el corporativo para empezar a levantar las PCs con lo parches mínimos requeridos para no ser afectados nuevamente por el malware. Mientras tanto, en los medios de prensa a nivel mundial se publicaron noticias sobre el ciberataque en diferentes países, en especial en las unidades de negocio de la línea Maerks, y sobre la afectación directa a APMTC.
Para el día viernes 30 a las 19:55 horas, el servicio de telefonía era el único que se había podido levantar, con el que los usuarios ya podían comunicarse entre áreas y hacia afuera. Lo siguiente era poder levantar las impresoras de tickets en el área de balanzas, lo que también se logró ese día, también en una red aislada. De esta manera, el proceso core de APMTC, que es el flujo de entrada y salida de camiones con containers al terminal portuario, pudo ser levantado, tres días después del ataque. Ese mismo día se crearon "clonaciones" de computadoras a partir de la "imagen" autorizada y enviada desde la India, con los parches y políticas pre-establecidas.
El ánimo del personal de las diferentes áreas de APMTC, con el apoyo de los supervisores y gerentes, comenzó a mejorar. Toda la empresa parecía haberse unido en una sola meta: levantar todos los procesos. Las paredes se llenaron de mensajes de aliento, además de procedimientos e instrucciones requeridas.
Situación a la fecha
Sin embargo, a la fecha del presente post, como resultado del ciberataque, las operaciones en el muelle del Callao aún se llevan a cabo de manera restringida, generándose sobrecostos para exportadores e importadores: colas de hasta 30 buques a la espera de ser atendidos; el costo de almacenaje en los depósitos (donde los exportadores guardan su carga a la espera de ser embarcada) se ha incrementado en USD 25 por contenedor; incluso varios exportadores han perdido sus contratos al no poder embarcar la carga a tiempo.
El equipo de TI está a la espera de la confirmación de la corporación para poder levantar los data center, servidores de archivo, los de contingencia y poder conectar nuevamente la red con la sede en la India, lo que permitirá restablecer todos los servicios finalmente.
Fuentes:
Gestión.pe. (2017). Noticias de APM Terminals Callao. Recuperado de http://gestion.pe/noticias-de-apm-terminals-callao-56138
Gestión.pe. (2017, junio). Terminal del Muelle Norte del Puerto del Callao sufrió ataque cibernético. Recuperado de http://gestion.pe/empresas/terminales-muelle-norte-puerto-callao-sufrieron-ataque-cibernetico-2193785
El ataque
El pasado 27 de junio, el operador portuario fue víctima del ataque cibernético mundial que sufrió la casa matriz del grupo Maersk (Dinamarca), a la que pertenece. El ataque global de ransomware denominado "Petya" llegó a los servidores en Europa e India, afectando a todas las unidades de negocio de Maersk, incluyendo el transporte de contenedores, las operaciones portuarias y remolcadoras, la producción de petróleo y gas, los servicios de perforación y los petroleros, a nivel mundial. El malware se extendió a través de las operaciones globales de la compañía, llegando a impactar a APMTC en el Perú.
Un malware de tipo ransomware restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
Bitácora del incidente
Todo comenzó en la madrugada del martes 27, a las 05:47 horas, momento en el que el personal que trabajaba en el turno de amanecida, en diferentes áreas de APMTC, comenzó a reportar errores en los sistemas de información. A las 6:09 horas se confirmó que se trataba de un virus masivo que estaría afectando los sistemas de todos los puertos del grupo Maersk. Casi de inmediato, llegó la orden corporativa (de la India) de desconectar todas las PCs y el servidor de archivos, a fin de contener la propagación del malware. A las 6:22 horas llegó otra orden para desconectar de la red todos los equipos de cómputo. A las 6:28 horas se confirmó que toda la red Maersk se había caído y se ordenó apagar el data center y no prender ninguna PC hasta nuevo aviso.
21:14 horas: El equipo de TI terminó de armar redes con laptops, preparadas desde cero, con Windows, antivirus y Excel, sin acceso a Internet, solamente para las áreas operativas más críticas, a fin de activar procedimientos alternativos manuales.
Al día siguiente (miércoles 28), las áreas de Contabilidad, Compras, Operaciones (procesos core) operaron de forma manual. En la zona de balanzas, se trabajó con el pesador manual, sin ingresar al sistema los datos de las cargas y los datos específicos de las agencias aduaneras que traían los contenedores; es decir, solo se verificaba el peso y los datos de la empresa "a lápiz y papel".Durante ese día 28 se retiraron todas las PCs de todos los edificios administrativos y la zona de operación, para formatearlas y clonarlas con una nueva "imagen" creada desde cero.
Al no haber correo electrónico, se colocaron en las puertas y paredes, inclusive en los baños, mensajes instructivos e informativos para la población de usuarios y clientes:
El ánimo del personal de las diferentes áreas de APMTC, con el apoyo de los supervisores y gerentes, comenzó a mejorar. Toda la empresa parecía haberse unido en una sola meta: levantar todos los procesos. Las paredes se llenaron de mensajes de aliento, además de procedimientos e instrucciones requeridas.
El 5 de julio, una semana después del ataque, ya se habían podido habilitar 400 computadoras, y los sistemas de información ya funcionaban en "modo cliente" para poder avanzar más rápido el proceso de ingreso de datos de los camiones y de cargas en general.
Situación a la fecha
Sin embargo, a la fecha del presente post, como resultado del ciberataque, las operaciones en el muelle del Callao aún se llevan a cabo de manera restringida, generándose sobrecostos para exportadores e importadores: colas de hasta 30 buques a la espera de ser atendidos; el costo de almacenaje en los depósitos (donde los exportadores guardan su carga a la espera de ser embarcada) se ha incrementado en USD 25 por contenedor; incluso varios exportadores han perdido sus contratos al no poder embarcar la carga a tiempo.
El equipo de TI está a la espera de la confirmación de la corporación para poder levantar los data center, servidores de archivo, los de contingencia y poder conectar nuevamente la red con la sede en la India, lo que permitirá restablecer todos los servicios finalmente.
Fuentes:
Gestión.pe. (2017). Noticias de APM Terminals Callao. Recuperado de http://gestion.pe/noticias-de-apm-terminals-callao-56138
Gestión.pe. (2017, junio). Terminal del Muelle Norte del Puerto del Callao sufrió ataque cibernético. Recuperado de http://gestion.pe/empresas/terminales-muelle-norte-puerto-callao-sufrieron-ataque-cibernetico-2193785
Gestión. (2017, julio). Usuarios de Muelle Norte reclaman por restricción en operación. Diario Gestión (Edición impresa) 13-07-2017.
Comentarios
Publicar un comentario