O ataque de hackers ao maior oleoduto dos EUA que fez governo declarar estado de emergência

Um grupo de hackers desconectou completamente a rede e roubou mais de 100 GB de informações do oleoduto da empresa Colonial. O duto transporta mais de 2,5 milhões de barris de óleo por dia, o que corresponde a 45% do abastecimento de diesel, gasolina e querosene de aviação da costa leste dos EUA.

Como consequência, os preços dos combustíveis subiram entre 2% e 3% em diversos estados.

Os EUA trabalharam na noite de domingo para restaurar o serviço, mas devido às constantes falhas nas linhas principais, o governo decidiu decretar o estado de emergência para facilitar o transporte de combustível por outros meios, principalmente rodoviários.

“Esta emergência é uma resposta ao fechamento inesperado do sistema de dutos da Colonial devido a problemas de rede que afetam o fornecimento de gasolina, diesel, querosene de aviação e outros produtos petrolíferos refinados nos Estados afetados”, disse o Departamento de Transportes, em nota oficial.

O estado de emergência abrange 17 Estados do país e suspende as restrições de horário para o transporte rodoviário de combustíveis.

O que se sabe sobre o ataque cibernético?

Várias fontes confirmaram que o ataque cibernético foi causado por um grupo de hackers chamado DarkSide, que se infiltrou na rede da Colonial na quinta-feira (06 de maio).

“Pouco depois de tomar conhecimento do ataque, a Colonial desligou de forma proativa certos sistemas para conter a ameaça. Essas ações interromperam temporariamente todas as operações do oleoduto e afetaram alguns de nossos sistemas de tecnologia, que estamos ativamente em processo de restaurar”, disse a empresa.

O ataque cibernético ocorre em um momento em que as reservas dos EUA estão diminuindo e a demanda, especialmente por combustíveis para veículos, está aumentando. Os consumidores estão voltando às estradas na medida em que a economia dos EUA tenta se recuperar dos efeitos da pandemia.

A empresa de energia efetuou o pagamento de 5 milhões de dólares, cerca de 25 milhões de reais, para os hackers que realizaram o ataque, como forma de resgate.

A DarkSide já realizou outros ataques antes e pediu somas milionárias

Como o ataque aconteceu?

De acordo com a Digital Shadows, uma empresa de segurança cibernética com sede em Londres que rastreia criminosos cibernéticos globais, o ataque ocorreu porque os hackers encontraram uma maneira de penetrar no sistema se aproveitando do grande número de engenheiros que acessam remotamente os sistemas de controle do oleoduto.

James Chappell, cofundador e diretor de inovação da Digital Shadows, acredita que a DarkSide obteve detalhes de login de programas de acesso remoto, como TeamViewer e Microsoft Remote Desktop.

A pesquisa inicial da Digital Shadows sugere que os hackers provavelmente estão baseados em um país de língua russa.

Chappell diz que é possível que qualquer pessoa procure os portais de login de computadores conectados à Internet em mecanismos de busca como Shodan e, em seguida, hackers continuem tentando combinações de nomes de usuário e senhas até que alguma delas funcione.

“Estamos vendo muitas casos assim agora, este é um problema sério”, diz Chappell.

“Todos os dias há novas vítimas. Há muitas pequenas empresas que são vítimas disso — está se tornando um grande problema para a economia global.”

Como a DarkSide opera?

Embora a DarkSide não seja a maior dessas gangues de hackers, o incidente destaca o risco crescente que o ransomware (em que um bloqueio online é feito por criminosos, que cobram um pagamento, geralmente em criptomoedas, para liberar o acesso) representa para a infraestrutura industrial de segurança, e não apenas para o mundo dos negócios.

A DarkSide costuma dar golpes do tipo ransomware. As vítimas de um ataque DarkSide recebem um pacote de informações informando que seus computadores e servidores estão criptografados.

A quadrilha lista então todos os dados que roubou e envia às vítimas o link para uma “página de vazamento pessoal” onde os dados já estão carregados, aguardando a publicação automática, caso a empresa ou organização se negue a pagar o resgate.

De acordo com a Digital Shadows, a DarkSide opera de forma profissional, como se fosse uma empresa.

A quadrilha desenvolve seu próprio software usado para criptografar e roubar dados, e depois treina agentes “afiliados”, que recebem um kit de ferramentas contendo o software, um template de ransomware por e-mail e treinamento para realizar ataques.

Os cibercriminosos afiliados então pagam à DarkSide uma porcentagem de seus ganhos de quaisquer ataques de ransomware bem-sucedidos.

Em março, quando lançou seu novo software que podia criptografar dados mais rápido do que antes, a gangue chegou a divulgar um comunicado à imprensa e convidou jornalistas para entrevistar seus integrantes.

Os hackers têm um site na dark web onde se orgulham de seu trabalho e fornecem detalhes sobre suas operações, listando todas as empresas hackeadas e o que foi roubado. Eles também têm uma página com um “código de ética”, listando quais organizações a gangue se compromete a não atacar.

A DarkSide também funciona com “access brokers” (intermediários de acesso) — que são hackers que trabalham para coletar os detalhes de login para o maior número possível de contas de usuários em diversos serviços.

Em vez de invadir essas contas, esses intermediários de acesso vendem esses dados de usuário e senha para quem pagar mais — em geral, outras gangues de cibercriminosos que usam esses dados para cometer crimes muito maiores.

Fonte: BBC