maio 10, 2021

[Segurança] Ransomware interrompe um dos maiores oleodutos dos EUA!

Olha a treta: um dos maiores oleodutos dos Estados Unidos foi fechado após um ataque de ransomware atingir a sua operadora, a Colonial Pipeline.


A empresa anunciou que sofreu um ataque de ransomware na 6a feira (07/05) e, por causa disso, teve que proativamente desconectar vários computadores e sistemas, o que a obrigou a desligar seus sistemas de controle dos oleodutos e, assim, fechar suas linhas de abastecimento, que correspondem a 5.500 milhas de oleoduto, que transporta 45% do abastecimento de combustível da costa leste dos EUA e cobre 14 estados do sul e leste dos EUA. Devido ao corte no abastecimento, nesta quarta-feira (12/05), três a cada quatro postos de gasolina estavam sem combustíveis em várias cidades americanas.


Após manter os seus sistemas desligados no final de semana, enquanto combatia o ataque do ransomware, nessa segunda-feira (10/05) a empresa já estava retomando a operação de seus sistemas, aos poucos. Para conseguir recuperar seu ambiente, a empresa optou por pagar o resgate de 5 milhões de dólares 4,4 milhões de dólares (75 bitcoins) para os ciber criminosos - mas aparentemente a ferramenta para descriptografar os dados era muito lenta, e mesmo assim a empresa ficou aproximadamente 6 dias fora do ar e dependeu de seus backups para ajudar a restaurar as operações.

O fato da Colonial Pipeline pagar o resgate gerou muita discussão no mercado por causa dos aspectos éticos e, principalmente, pois isso fomenta e incentiva o mercado de ransomware. O CEO da empresa tentou justificar a decisão, pois na visão dele isso reduziria o impacto para os clientes finais. Mas esse não foi um ato isolado! A seguradora americana CNA Financial pagou US$ 40 milhões de resgate após um ataque de ransomware em Março - esse valor é maior do que o maior resgate pedido em 2020, de 30 milhões de dólares, e muito maior do que o maior resgate pago em 2019, que foi de 15 milhões de dólares!

O Departamento de Justiça americano realizou uma investigação sobre como foi realizado o pagamento do resgate, nas carteiras em bitcoins, e conseguiu recuperar 63,7 bitcoins (aproximadamente 2,3 milhões de dólares) pagos para os ciber criminosos.


Nesse artigo do pessoal da Kaspersky, eles lembram 3 motivos para não pagar um resgate de ransomware: ao fazer isso, (1) você está patrocinando o cibercrimes, (2) sem garantias de que seus arquivos realmente serão recuperados e (3) correndo o risco de ser invadido novamente!

A propósito, veja esse caso recente, que mostra como nem sempre podemos acreditar nos criminosos por trás de um ransomware: o grupo iraniano chamado de Agrius desenvolveu um malware que funciona tanto como ransomware como destruidor de arquivos ("wiper"), e em alguns ataques eles exigiram resgate, mas mesmo assim destruíram os dados da vítima.

Segundo as investigações, o grupo de ciber criminosos russos e operadores de ransomware conhecidos como "DarkSide" é o responsável por esse ataque de ransomware, um grupo que trabalha no modelo de "ransomware as a service" e que tem se destacado muito desde meados do ano passado. O grupo é especializado no ataque a empresas e na tática de "double extorsion".


Segundo estimativas da empresa Elliptic, o DarkSide infectou 99 empresas em 9 meses, 47 das quais pagaram resgate, um total de mais de 90 milhões de dólares. Em média, os valores pagos fora de 1,9 milhões de dólares. Os criadores do DarkSide ficam com uma parte dos valores pagos, variando desde 25% em caso de resgates até 500 mil dólares, até 10% para resgates acima de US$ 5 milhões.

A notícia já causou especulações sobre o impacto no abastecimento de combustíveis nos EUA e aumento de preços, pois a empresa transporta gasolina, diesel e querosene de aviação, um volume de aproximadamente 100 milhões de galões de combustível por dia e atende a sete aeroportos.

Além de criptografar diversos computadores da Colonial Pipeline, incluindo o sistemede da Colonial Pipeline atrava de cobrança da empresa, o ransomware conseguiu roubar 100 GB de dados.

Segundo as investigações do incidente, os ciber criminosos conseguiram invadir a rede da Colonial Pipeline através de uma senha comprometida de sua VPN, que não possuía segundo fator de autenticação. A invasão aconteceu no dia 29 de abril, ou seja, praticamente uma semana antes do ransomware infectar a empresa. A credencial da VPN não estava em uso, mas estava ativa, e os criminosos conseguiram explorá-la pois ela constava em um vazamento de senhas disponível na dark web, sugerindo que o funcionário reusou a mesma senha em outra conta, previamente vazada.

(Atualizado em 12/05) O grupo responsável pelo ransomware DarkSide disse que não tinha interesse em causar a parada no sistema de oleoduto, e que vai incluir controles adicionais para evitar que seu ransomare cause impactos semelhantes no futuro.


O screenshot abaixo, retirado do artigo do Brian Krebs sobre o DarkSide, mostra qual é a "política" do serviço deles:


O pessoal da RSA Conference aproveitou o embalo e publicou um video curto, de aproximadamente 10 minutos, discutindo os impactos dos ataques de ransomware a provedores de infraestrutura crítica e o caso do ataque na Colonial Pipeline (Ransomware and Critical Infrastructure: An Interview with Bryson Bort):


No vídeo acima, o Bryson Bort faz um comentário interessante: ao invadir um sistema, o ransomware DarkSide verifica se a linguagem configurada no computador é o Russo - e, caso afirmativo, não realiza a infecção. Como os ciber criminosos são russos, isso provavelmente acontece para que eles não tenham problemas com as autoridades e a polícia local - e somente ataquem sistemas de outros países.

O pessoal do grupo INTEL471 escreveu um post curto sobre o DarkSide, aonde eu destaco o trecho que eles comentam sobre as principais técnicas que eles normalmente usam para invadir as suas vítimas (e provavelmente foi esse o caminho que levou a invasão da Colonial Pipeline): usam credenciais vazadas de funcionários das empresas, tentam fazer ataques de força-bruta contra os sites das vítimas, usam botnets existentes para aproveitar o acesso a empresas previamente invadidas, ou então simplesmente enviam SPAM e phishing para os funcionários da empresa que desejam atacar.

O ciber ataque contra a Colonial Pipeline ganhou muita atenção da imprensa e, principalmente, do governo americano, pois trouxe a tona a facilidade de um ciber ataque causar impacto econômico no país. O pessoal do FBI e da Casa Branca está olhando de perto a situação da empresa e o impacto do ciber ataque. Podemos esperar um endurecimento das autoridades e das leis no curto prazo.



Olha a treta, reportada pelo Brian Krebs: DarkSide Ransomware Gang Quits After Servers, Bitcoin Stash Seized. O grupo DarkSide declarou recentemente que encerrou suas operações de "Ransomware-as-a-Service" e que iria liberar as chaves de criptografia para as vítimas. De fato, devido a reação das autoridades americanas, vários operadores de ransomware, além do grupo DarkSide, estão evitando chamar a atenção e até mesmo derrubando suas operações.


Olha agora essa lambança: mesmo após ter reestabelecido as suas operações, no dia 18/5 a Colonial Pipeline teve que novamente tirar seus sistemas do ar como parte dos esforços de melhoria da segurança do seu ambiente.

A propósito, deixo aqui o meu desabafo com a péssima e vergonhosa versão dessa noticia divulgada pelo G1, que tem como título infeliz "O ataque de hackers a maior oleoduto dos EUA que fez governo declarar estado de emergência" e, para piorar, disse o absurdo de que "Um grupo de hackers desconectou completamente um oleoduto e roubou mais de 100 GB de informações". Só para deixar bem claro: os ciber criminosos não desligaram o sistema dos oleodutos, quem fez isso foi a própria empresa, após ser invadida pelo ransomware.


Eu já sou da opinião de que a expressão "ataque de hacker" traz um entendimento totalmente errado do que representa uma infeção por vírus ou  ranwomware - o que normalmente acontece simplesmente porque um usuário clicou em link malicioso  ou a empresa estava com sistemas vulneráveis. Mas, ao dizer que o sistema foi desconectado pelo grupo de ciber criminosos, mostra que o reporter não fez um trabalho mínimo de ler e entender o que recebeu das suas fontes. Os ciber atacantes por trás de grupos de ransonware tem como objetivo simplesmente ganhar dinheiro na base do roubo de arquivos, sem objetivo de paralisar infraestruturas críticas (ok, infelizmente isso pode acontecer como um efeito colateral do ciber ataque, como foi nesse caso da Colonial Pipeline).


PS: Tais ciber ataques, que causam um impacto significativo, acabam atraindo muita atenção da imprensa, que corre para escrever notícias sensacionalistas sobre o tema. Essa imagem, do "ciclo do pânico", vale para a vida real e também para as notícias sobre ciber segurança divulgadas na imprensa:


PS/2: A Toshiba também foi atacada pelo ransonware DarkSide, segundo notícia publicada pela imprensa em 14/05.

PS 3: Precisa explicar para o chefe o que é um ransomware? Que tal esses cartoons compartilhados pelos nossos amigos da Kaspersky? kkkkkk...


Para saber mais:
Post atualizado em 11, 12, 13, 14, 17, 19, 21, 24 e 26/05. Atualizado novamente em 14/06.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.