O grupo cibercriminoso DarkSide, responsável pelo ransomware que atingiu a Colonial Pipeline, no começo do mês passado, utilizou uma VPN comprometida para atacar a empresa. Charles Carmakal, vice-presidente da Mandiant, revelou, em entrevista à Bloomberg, que cibercriminosos encontraram senha da Colonial Pipeline em compilado de vazamentos na dark web.
- FBI acusa grupo REvil de ser o responsável pelo ransomware que atingiu a JBS
- Toshiba é infectada pelo mesmo ransomware que comprometeu Colonial Pipeline
- Principal oleoduto dos EUA sofre ataque de ransomware
De acordo com a Bloomberg, a senha de uma conta do serviço de VPN interno da Colonial Pipeline pode ter sido encontrada pelos cibercriminosos em um lote de senhas vazadas na dark web. A conta comprometida não estava sendo utilizada pela empresa, mas seu acesso ainda estava ativo, além disso, não havia autenticação multifator configurada.
"Fizemos uma pesquisa bastante exaustiva do ambiente para tentar determinar como eles realmente conseguiram essas credenciais [...] Não vimos nenhuma evidência de phishing para o funcionário cujas credenciais foram usadas. Não vimos nenhuma outra evidência de atividade do invasor antes de 29 de abril", explica Carmakal.
O ataque
No dia 07 de maio deste ano, a Colonial Pipeline, principal fornecedora de combustível e responsável por um dos maiores oleodutos dos Estados Unidos, confirmou através de um comunicado à imprensa, que foi vítima de um ataque cibernético que resultou em um ransomware em suas redes. Como medida de precaução, todas as operações da empresa foram paralisadas.
Como informa o Bloomberg, os funcionários da Colonial Pipeline, que chegaram para trabalhar neste dia 07 de maio, encontraram nas máquinas da sala de controle uma nota de resgate, pedindo um valor em criptomoedas para a devolução dos dados que haviam sido criptografados através do ransomware. Um funcionário comunicou seu supervisor que logo começou a desligar os oleodutos e dispositivos da empresa.
A paralisação da Colonial Pipeline causou escassez de combustível em cerca de 13 estados estadunidenses o que fez com o que o presidente dos EUA, Joe Biden, decretasse estado de emergência em quase todo o país.
Mais tarde, foi descoberto, também pelo Bloomberg, que a Colonial Pipeline negociou com os cibercriminosos, pagando um valor de aproximadamente U$ 5 milhões (cerca de R$ 25 milhões) pelo resgate dos dados criptografados.
Carmakal explica que a Mandiant continua estudando a rede da Colonial Pipeline para identificar como os cibercriminosos realizaram o ataque, além de que está instalando ferramentas de detecção para alertar a empresa em casos de ataques como este.
“A última coisa que queríamos era que um ator de ameaça tivesse acesso ativo a uma rede onde houvesse qualquer risco possível para um pipeline. Esse foi o maior foco até que foi ligado novamente", conclui o executivo.
Ransomware DarkSide
DarkSide é um grupo de cibercriminosos com foco em campanhas de ransomware que anunciou sua aposentadoria após 9 meses de operação, no qual conseguiram roubar mais de U$ 90 milhões (cerca de R$ 472 milhões).
Logo após o comprometimento da Colonial Pipline, o DarkSide infectou subsidiárias da Toshiba na Europa. Já no Brasil, foi identificado que, anteriormente, o grupo atingiu a Copel, Eletrobras e o Grupo Moura.
Fontes: Bloomberg (04/06); Bloomberg (13/05).