A Colonial Pipeline, que transporta 45% do combustível consumido na costa leste dos EUA, disse no sábado que interrompeu as operações devido a um ataque de ransomware, mais uma vez demonstrando como a infraestrutura é vulnerável a ataques cibernéticos.

“Em 7 de maio, a Colonial Pipeline Company soube que foi vítima de um ataque de segurança cibernética”, disse a empresa em um comunicado publicado em seu site. “Desde então, determinamos que este incidente envolve ransomware. Em resposta, colocamos alguns sistemas offline de forma proativa para conter a ameaça, o que interrompeu temporariamente todas as operações da empresa e afetou alguns de nossos sistemas de TI.”

Colonial Pipeline é o maior duto de produtos refinados nos EUA, um sistema de 5.500 milhas (8.851 km) envolvido no transporte de mais de 100 milhões de galões da cidade de Houston no Texas para o porto de Nova York.

A divisão de resposta a incidentes está ajudando na investigação, de acordo com relatórios da Bloomberg e do The Wall Street Journal, com o ataque ligado a uma cepa de ransomware chamada DarkSide.

“Estamos comprometidos com a Colonial e nossos parceiros interagências em relação à situação”, disse a Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA). “Isso ressalta a ameaça que o ransomware representa para as organizações, independentemente do tamanho ou setor. Encorajamos todas as organizações a tomar medidas para fortalecer sua postura de segurança cibernética para reduzir sua exposição a esses tipos de ameaças.”

Darkside ransomware
Nota do ransom produzido pela DarkSide

Uma análise do ransomware publicado por analistas de segurança no início de abril de 2021 revela que o DarkSide tem um padrão de ser usado contra alvos em países de língua inglesa, evitando entidades localizadas em países do antigo Bloco Soviético.

Os operadores por trás do ransomware também mudaram recentemente para um programa de afiliados em março, no qual os agentes de ameaças são recrutados para espalhar o malware violando as vítimas da rede corporativa, enquanto os desenvolvedores principais se encarregam de manter o malware e a infraestrutura de pagamento.

DarkSide, que iniciou suas operações em agosto de 2020, publicou dados roubados de mais de 40 empresas até o momento. Não está imediatamente claro quanto dinheiro os invasores exigiram ou se a Colonial Pipeline pagou. Um relatório separado da Bloomberg alegou que os cibercriminosos por trás do ataque roubaram 100 GB de dados de sua rede.

Ameaça crescente de ransomware

Invasões potencialmente prejudiciais que visam serviços públicos e infraestrutura crítica testemunharam um aumento nos últimos anos, alimentado em parte por ataques de ransomware que cada vez mais aderiram ao movimento da extorsão dupla para não apenas criptografar os dados da vítima, mas roubar as informações antecipadamente e ameaçar torná-las públicas se o pedido de resgate não for pago.

Ataque de ransomware nos EUA nos últimos 9 mêses

Com base em dados coletados com alguns especialistas de segurança e compartilhados com The Hacker News, os ataques cibernéticos direcionados a utilitários americanos aumentaram 50% em média por semana, de 171 no início de março para 260 no final de abril. Além do mais, nos últimos nove meses, o número mensal de ataques de ransomware nos EUA quase triplicou para 300.

“Além disso, nas últimas semanas, uma média de 1 em cada 88 organizações de serviços públicos nos EUA sofreu uma tentativa de ataque de Ransomware, um aumento de 34% em comparação com a média desde o início de 2021”, disse alguns dos especialistas.

Em fevereiro de 2020, a CISA emitiu um alerta de alerta sobre o aumento das infecções de ransomware que afetavam as operações de gasodutos após um ataque que atingiu uma instalação de compressão de gás natural não identificada no país, fazendo com que a empresa fechasse seu ativo de gasoduto por cerca de dois dias.

A proteção da infraestrutura de dutos tem sido uma área de foco do Departamento de Segurança Interna, que em 2018 designou a CISA para supervisionar o que é chamado de Pipeline Cybersecurity Initiative (PCI), que visa identificar e lidar com ameaças emergentes e implementar medidas de segurança para proteger mais de 2,7 milhões milhas de dutos responsáveis ​​pelo transporte de petróleo e gás natural nos EUA

O National Risk Management Center (NRMC) da agência também publicou uma Pipeline Cybersecurity Resources Library em fevereiro de 2021 para “fornecer instalações de dutos, empresas e partes interessadas com um conjunto de recursos voluntários gratuitos para fortalecer sua postura de segurança cibernética.”

Refêrencias:

https://thehackernews.com/2021/05/ransomware-cyber-attack-forced-largest.html

https://www.cisa.gov/pipeline-cybersecurity-library

https://www.cisa.gov/publication/pci-cyber-risk-infographic

https://us-cert.cisa.gov/ncas/alerts/aa20-049a