Os sinais apontam para o fato de que foi DarkSide, um grupo de hackers semelhante a Robin Hood que executou com sucesso um ransomware ataque que desligou o Oleoduto Colonial com base na Geórgia. Existem relatórios conflitantes sobre como o incidente terá impacto adicional na distribuição de petróleo doméstico dos EUA para os estados do Leste e nos preços do gás.
Empresas privadas que trabalham com agências governamentais dos Estados Unidos desligaram os servidores em nuvem a partir dos quais os ataques ao Oleoduto Colonial e 12 outras empresas foram lançados. Eles também recuperaram os dados roubados com destino à Rússia.
O gasoduto principal está fechado há vários dias. Embora os dutos menores também tenham sido afetados, eles foram restaurados primeiro como parte de um plano em fases. O Oleoduto se estende do Texas ao Nordeste, entregando cerca de 45% do combustível consumido pela Costa Leste.
Os fatos
Na sexta-feira, 7 de maio, o Oleoduto Colonial anunciou que suas operações foram interrompidas como resultado de um incidente de ransomware que desligou o oleoduto principal e oleodutos menores. A resposta ao incidente começou no dia anterior, na quinta-feira.
No domingo, as linhas menores estavam operacionais novamente. No entanto, a linha principal permanece inativa no momento da redação deste artigo. No início da semana, o presidente Joe Biden trabalhou com o Departamento de Transporte para suspender as restrições de horas de transporte de óleo para manter os produtos de gás fluindo. Na quarta-feira, a Casa Branca divulgou um Ordem Executiva para melhorar a segurança cibernética nacional. O Oleoduto Colonial agora está totalmente operacional, mas não antes de os consumidores em pânico começarem a acumular gás e reclamar da alta de preços.
O Oleoduto Colonial transporta mais de 2.5 milhões de barris por dia de diesel, gasolina, combustível de aviação e gás natural por meio de dutos da Costa do Golfo que se estendem por mais de 5,500 milhas.
A Reuters informou que os hackers roubaram mais de 100 GB de dados e que o FBI e outras agências governamentais colaboraram com sucesso com empresas privadas para derrubar os servidores em nuvem que os hackers usaram para roubar os dados. O valor do resgate permanece não revelado, assim como a resposta da Colonial Pipelines à tentativa de extorsão.
DarkSide afirma que não tem como alvo escolas, hospitais, lares de idosos ou organizações governamentais e que doa parte de sua generosidade para instituições de caridade. O grupo supostamente exige o pagamento por uma chave de descriptografia e está cada vez mais exigindo pagamento adicional para não publicar dados roubados. DarkSide também declarou em seu site recentemente que não é geopoliticamente motivado.
O ataque do Oleoduto Colonial foi considerado “o pior ataque à infraestrutura crítica até hoje”.
Lições Aprendidas
A infraestrutura crítica dos EUA se tornou um alvo popular da guerra cibernética. O ponto fraco é o envelhecimento dos sistemas de controle industrial e tecnológico (ICSs), que podem carecer de segurança física e cibernética adequada.
O problema não é novo, mas o número de ataques continua a aumentar.
Dicas rápidas
Nenhuma empresa está imune a um ataque de ransomware.
- Limitar privilégios administrativos.
- Limite o uso de hardware e software a hardware e software autorizados. Embora isso possa não ser possível em todas as organizações, é importante para organizações de infraestrutura crítica.
- Monitore o comportamento do sistema, aplicativo, rede e usuário quanto a atividades anômalas.
- Faça uma avaliação completa de segurança cibernética que envolva testes de penetração de chapéu branco. As organizações de infraestrutura crítica devem verificar se há fraquezas físicas e cibernéticas.
- Fortifique os pontos fracos.
- Já possui uma plano de resposta a incidentes em vigor que envolve operações, finanças, jurídico, conformidade, TI, gerenciamento de risco e comunicações.
- Remendo software o mais rápido possível.
- Treine e atualize a força de trabalho sobre higiene cibernética.
- Se sua empresa for atacada, contrate uma empresa especializada em forense. Entre em contato com as autoridades locais e federais, conforme apropriado.
Fonte: https://www.cshub.com/attacks/articles/iotw-ransomware-attack-closes-colonial-pipeline