Na última sexta-feira (07), a Colonial Pipeline, maior rede de oleoduto dos Estados Unidos (EUA), foi afetada pelo ransomware DarkSide, o que provocou o desligamento do fornecimento de nafta, óleo diesel e outros produtos refinados em um trecho de aproximadamente 8.850 quilômetros que vai do Texas a Nova York. A empresa confirmou o ataque cibernético no dia seguinte e afirmou que teve que desconectar alguns computadores para conter a ameaça.

Conforme informações do FBI, o ransomware DarkSide foi o responsável por esse ataque. Diante do incidente, a empresa anunciou na última segunda-feira (10) que continua trabalhando para restaurar os sistemas de forma rápida, mas também segura, embora esclareça que se trata de um processo que leva tempo. De acordo com a BBC, os invasores roubaram mais de 100 GB de informações da empresa.

As consequências desse ataque a uma infraestrutura crítica tão importante quanto a da Colonial Pipeline fez com que a Federal Motor Carrier Safety Administration (FMCSA) tivesse que declarar estado de emergência regional no Alabama, Arkansas, Washington DC, Delaware, Flórida, Geórgia, Kentucky, Louisiana, Maryland, Mississippi , Nova Jersey, Nova York, Carolina do Norte, Pensilvânia, Carolina do Sul, Tennessee, Texas e Virgínia.

É importante destacar que o fornecimento de produtos petrolíferos refinados da Colonial Pipeline às refinarias locais e a outros mercados representa 45% do combustível consumido na costa leste dos Estados Unidos e a mais de 50 milhões de habitantes.

Embora não tenho específica qualquer detalhe sobre como os atacantes conseguiram comprometer os sistemas da Colonial Pipeline, vale a pena mencionar que muitos grupos de ransomware têm explorado - entre outras rotas de acesso inicial – as conexões remotas como o RDP para acessar sistemas. De acordo com uma palestra realizada em fevereiro de 2020 (antes do início da pandemia) na conferência RSA, pelo agente do FBI, Joel DeCapua, mais de 80% dos ataques de ransomware foram realizados através do ataque a rede por meio de ataques de força bruta com a intenção de obter dados de acesso ao RDP. Sabemos o que aconteceu em decorrência da pandemia e do aumento do trabalho remoto no mundo: muitas empresas se viram forçadas a usar ferramentas que permitissem aos seus funcionários se conectarem remotamente aos sistemas. corporativos. Os atacantes também se aproveitaram desse fenômeno, apesar da exploração de conexões remotas como o RDP antes desse período, dados da ESET mostram que os ataques ao RDP cresceram 768% entre o primeiro e o último trimestre de 2020.

DarkSide: o grupo por trás do ataque

Visto pela primeira vez em agosto de 2020, o DarkSide é um ransomware-as-a-Service (RaaS, pela sigla em inglês) que realiza ataques direcionados e que geralmente solicita grandes quantias para o pagamento de resgates. O modelo de ransomware-as-a-service envolve basicamente aqueles que desenvolvem a ameaça e os afiliados, que são responsáveis ​​pela distribuição do ransomware. O lucro obtido através da solicitação de resgate é dividido entre esses personagens. Curiosamente, na última segunda-feira (10) o grupo responsável por esse ransomware divulgou um comunicado afirmando que, por não querer gerar consequências sociais, a partir de agora irão monitorizar os alvos direcionados pelos afiliados para evitar futuros ataques que acabem atingindo a sociedade.

Este grupo é o mesmo que em outubro de 2020 anunciou a doação de parte do dinheiro obtido com os resgates para uma organização sem fins lucrativos que trabalha com crianças em situação de extrema pobreza. No entanto, conforme informações do portal BleepingComputer, após a declaração pública da doação, a organização foi obrigada a rejeitar o dinheiro por ter sido gerado ilegalmente.

Assim como outros grupos de ransomware que realizaram atividades significativas nos últimos tempos, o DarkSide rouba informações de sistemas comprometidos antes de criptografar as informações e, caso as empresas não efetuem o pagamento do resgate solicitado, ameaça as vítimas com o vazamento dos dados em um site criado especificamente para isso objetivo.

Sinal de alerta para a infraestrutura crítica

A gravidade e o alcance do ataque nos fazem lembrar do ataque sofrido por outra infraestrutura crítica nos Estados Unidos em fevereiro deste ano: uma planta de purificação de água em Oldsmar, na Flórida. Naquela época, os invasores aparentemente conseguiram obter acesso aos sistemas através do TeamViewer, software bastante usado para acesso e suporte remoto, e tentaram envenenar o abastecimento de água da cidade manipulando os níveis químicos de hidróxido de sódio.

Por outro lado, vale ressaltar que este não é o primeiro ataque a empresas do setor elétrico no mundo. Em 2019, a petroleira mexicana Pemex sofreu um ataque do ransomware Dopplepaymer, enquanto que em 2020 no Brasil outras empresas do setor elétrico como a Electrobras também sofreram ataques de ransomwares.


Veja mais: Ransomware Avaddon faz vítimas no Brasil