ESET analisa um ataque do DarkSide que afetou a Colonial Pipeline, a maior empresa de oleoduto norte-americana
A Colonial Pipeline, maior empresa de dutos dos Estados Unidos, foi obrigada a desligar seus sistemas, interrompendo o fornecimento de nafta, diesel e outros produtos refinados em um trecho de aproximadamente 8.850 quilômetros que vai do Texas a Nova York. A ESET, empresa líder em detecção proativa de ameaças, analisa o ataque.
A Colonial Pipeline confirmou o ataque cibernético e afirmou que, para conter a ameaça, foi necessário desconectar alguns computadores. Conforme mencionado pelo FBI, o responsável por este ataque é o ransomware DarkSide. Por outro lado, a empresa anunciou na segunda-feira que continua a trabalhar para restaurar os seus sistemas de forma rápida mas também segura, embora esclareça que se trata de um processo que leva tempo. De acordo com a BBC, os invasores teriam roubado mais de 100 GB de informações da empresa.
O fornecimento de produtos petrolíferos refinados da Colonial Pipeline para refinarias locais e outros mercados representa 45% do combustível consumido na costa leste dos Estados Unidos e para mais de 50 milhões de habitantes. 17 estados afetados declararam estado de emergência depois que o Oleoduto Colonial interrompeu seus sistemas.
Embora nenhum detalhe tenha sido especificado sobre como os sistemas Colonial Pipeline foram comprometidos, grupos de ransomware têm aproveitado – entre outras rotas de acesso inicial – de conexões remotas como RDP para acessar os sistemas das vítimas.
“Como resultado da pandemia e do aumento do trabalho remoto no mundo, as empresas foram obrigadas a fazer uso de diferentes ferramentas para permitir que os funcionários se conectassem remotamente aos sistemas da empresa. Isso também foi aproveitado pelos atacantes que, embora já abusassem de conexões remotas como RDP antes do isolamento, dados da ESET mostram que durante 2020 os ataques RDP cresceram 768% entre o primeiro e o último trimestre de 2020”, menciona Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
O DarkSide é um ransomware que opera sob o modelo Ransomware-as-a-Service (RaaS) que realiza ataques direcionados e que geralmente solicita grandes quantias para o pagamento de resgates. O modelo RaaS envolve basicamente aqueles que desenvolvem a ameaça e os afiliados, que se encarregam de distribuir o ransomware. Entre essas duas partes, os ganhos obtidos com o pagamento do resgate são divididos.
Como outros grupos de ransomware, o DarkSide rouba informações de sistemas comprometidos antes de criptografar as informações e, no caso de não querer negociar o pagamento do resgate, expõe suas vítimas vazando as informações em um site criado especificamente para esse fim.
Em fevereiro deste ano, outra infraestrutura crítica nos Estados Unidos foi atacada: uma estação de tratamento de água em Oldsmar, Flórida. Naquela época, os invasores aparentemente conseguiram obter acesso aos sistemas por meio do TeamViewer, software usado para fornecer acesso e suporte remotos, e tentaram envenenar o abastecimento de água da cidade manipulando os níveis químicos de hidróxido de sódio.
Por outro lado, este não é o primeiro ataque a empresas do setor de energia no mundo. Em 2019, a petrolífera mexicana Pemex sofreu um ataque nas mãos do ransomware Dopplepaymer, enquanto em 2020 no Brasil outras empresas de energia como a Electrobras e Copel também sofreram um ataque de ransomware; o último também nas mãos do DarkSide.
Para saber mais sobre segurança da informação, acesse o portal de notícias da ESET: https://www.