24 de maio de 2021

Na sexta-feira, dia 7 de maio, a Colonial Pipeline, uma empresa privada e uma das maiores operadoras de oleodutos dos Estados Unidos, foi acionada, informou que havia sido vítima de um ataque cibernético de ransomware em grande escala. Os efeitos foram imediatos: escassez de gás e preços mais altos, além de uma sensação de que, mais uma vez, a infraestrutura de serviços públicos e energia dos Estados Unidos estava em risco devido a vulnerabilidades de IoT de longa data. Essas os ataques a empresas industriais e de serviços públicos continuam a aumentar em frequência e impactoO aumento da segurança cibernética, que levou os especialistas do setor a alertarem que a falta de abordagem das principais preocupações com a segurança cibernética pode ter consequências ainda mais devastadoras em ataques futuros, tanto para a economia quanto para a infraestrutura essencial. O surgimento de sistemas conectados modernos com o Industry 4.0 aumentou a eficiência e o monitoramento dos setores de energia e serviços públicos, mas esses sistemas, quando protegidos de forma inadequada, podem se tornar um ponto de acesso em potencial para que os invasores violem a infraestrutura de TI e TO.

A tendência crescente de ataques cibernéticos não está isenta de possíveis soluções. Há recomendações de especialistas para a melhoria da segurança cibernética a fim de abordar a crescente preocupação no setor de IoT e manufatura. O CEO e presidente da Sightline Systems, Brandon Witte, diz que esses ataques podem ser evitados ou seu impacto minimizado por meio da implementação do monitoramento de dados do sistema vinculado à segurança nas redes e de um protocolo rigoroso de segurança de dados.

---

Assista sob demanda: "Vulnerabilidades que você nunca soube que existiam" | Webinar sobre segurança cibernética transmitido ao vivo com perguntas e respostas - Brandon Witte (CEO, Sightline Systems) e EG Pearson (arquiteto de soluções, Unisys)

---

A empresa visada, a Colonial Pipeline, inclui uma infraestrutura de transporte de 5.500 milhas que fornece 100 milhões de galões (2,5 milhões de barris) de gasolina, diesel, combustível de aviação e petróleo todos os dias. Ela é responsável por mais de 45% do combustível usado na costa leste dos EUA, desde a Costa do Golfo, no Texas, até a área metropolitana de Nova York. Para evitar que o ataque se espalhasse, a Colonial desligou seus sistemas da costa leste, interrompendo todas as operações do oleoduto por mais de seis dias. Para recuperar o controle de seus sistemas de TI e OT, a Colonial optou por pagar $4,4 milhões de bitcoins em ransomware, uma decisão controversa que foi contra as recomendações do FBI.

"Foi a coisa certa a fazer pelo país" disse o CEO da Colonial, Joseph Blount, em comentários relatados pela AP:

Isso aconteceu? Existe uma maneira de evitar que esses ataques aconteçam no futuro?

Além do custo para a Colonial, as repercussões ainda estão sendo sentidas em todo o país, tanto pelos consumidores quanto pelas empresas. A paralisação do gasoduto por uma semana e o lento retorno à capacidade total causaram pânico no público, levando à escassez crítica de gás e combustível em todo o país: de acordo com a Reuters, Alguns estados informaram que 90% dos postos de gasolina estavam sem combustível. Em 19 de maio, uma semana após a reabertura do oleoduto, 9.500 postos de gasolina ainda estavam sem combustível, especialmente no Meio-Atlântico da costa leste. O preço da gasolina em todo o país subiu para seus níveis mais altos desde 2014, com uma média nacional de $3,04 por galão. Citando preocupações críticas para a segurança nacional, o presidente dos EUA, Biden assinou uma nova ordem executiva de segurança cibernética em 12 de maio, após o ataque ao oleoduto, criando novas diretrizes para a resposta a tais ataques, exigindo transparência por parte das empresas que foram atacadas e aumentando o envolvimento governamental após qualquer exploração.

DarkSide: O Perpetrador

A maioria dos especialistas concorda que o atacante era a DarkSideA Ransomware Inc., uma organização criminosa na Rússia e no leste da Europa, com possíveis vínculos com o governo russo. Experiência em esquemas de Ransomware como serviço (RaaS), A DarkSide pode ter coletado mais de $90 milhões de Bitcoin em resgates de ataques cibernéticos anteriores.

Alguns detalhes precisos e uma linha do tempo específica do ataque e da exploração não são totalmente conhecidos, mas acredita-se que a DarkSide tenha visado especificamente funcionários individuais, extorquiram ou compraram suas credenciais e, em seguida, usaram seu acesso para se infiltrar na rede sem controle e espalhar scripts maliciosos por toda a infraestrutura de TI e OT. Suspeita-se que eles tenham usado vários métodos sofisticados para evitar a detecção de sua infiltração, incluindo a autocriptografia de códigos maliciosos dentro da rede. 

Ataques a redes de afiliados e RaaS: Um problema crescente

A prevalência e o impacto desses tipos de Os ataques de RaaS estão aumentando drasticamenteA maioria dos ataques de ransomware é de origem criminosa, especialmente nos setores de serviços públicos e energia, mas também são cada vez mais lucrativos. As organizações criminosas de RaaS, como a DarkSide, que se especializam no desenvolvimento de códigos de malware e ransomware, também implantam uma ampla rede de "afiliados" conspiradores, especializados em pesquisa, identificação de alvos em potencial, obtenção de acesso a credenciais de usuários individuais visados por meio de compra direta, extorsão, chantagem e/ou phishing. Por exemplo, a DarkSide recebeu $90 milhões de bitcoins que coletou de organizações de vítimas e pagou $74,7 milhões a seus afiliados, muitos dos quais têm vínculos com organizações do crime organizado. Esses ataques geram pagamentos maciços de ransomware a toda uma rede de co-conspiradores.

Essa realidade financeira talvez seja mais claramente refletida pela própria DarkSide, que tem declararam publicamente sua intenção e motivação como uma organização, escrevendo em seu site: "oNosso objetivo é ganhar dinheiro, não criar problemas para a sociedade". 

Segurança cibernética da IOT: Ameaças à infraestrutura global

Embora esse ataque'Embora o impacto do ransomware possa ser visto por muitos como um incidente infeliz, mas isolado, ele mostra uma ameaça de segurança muito mais profunda no setor, que muitos especialistas temem que possa ser explorada com resultados ainda mais devastadores. A Ransomware Task Force (RTF), um grupo dedicado de empresas de tecnologia, agências governamentais e especialistas em segurança cibernética, afirma que esses ataques cibernéticos estão arruinando vidas e causando um grande impacto na sociedade e na economia. Em um espaço de poucos anos, RTF comentou, “o ransomware se tornou uma séria ameaça à segurança nacional e uma preocupação com a saúde e a segurança públicas".

Um fator crítico no aumento Em um artigo de opinião para Política externaJason Bordoff, da Universidade de Columbia, conclui que o "O ataque colonial é um lembrete dos conhecidos riscos de segurança cibernética para o sistema de energia" e que, com o surgimento da Indústria 4.0, "os riscos para o petróleo e o gás podem aumentar não apenas à medida que os invasores se tornam cada vez mais sofisticados, mas também à medida que o setor recorre cada vez mais a ferramentas de inteligência artificial e digitalização para aumentar a produção e reduzir os custos". Embora a localização exata da fonte da violação não tenha sido confirmada, sabe-se que a Colonial Pipeline tem um sofisticado sistema de IoT repleto de mecanismos de monitoramento e controle e dispositivos conectados à rede. Sabemos que a empresa está já envolvido em uma investigação do comitê da Câmara dos EUA e enfrentando pelo menos um processo judicial sobre possíveis vulnerabilidades de segurança.

Como podemos nos defender contra esses ataques?

A defesa contra esses tipos de ataques exige sistemas avançados e defesas digitais sempre atentas, mas isso não significa que eles sejam inevitáveis para as empresas no futuro. De acordo com o CEO da Sightline, Brandon Witte, esses ataques podem ser evitados e seu impacto minimizado com o uso de "redes de "confiança zero" e microssegmentação. Em parceria com a Unisys Corporation, a Sightline lançou o SIAS, que combina duas soluções de última geração em uma só, fornecendo aos fabricantes uma segurança fácil de usar e poderosa para proteger melhor seus ambientes.

"SIAS™ traz confiança zero, camuflagem, criptografia e micro segmentação para o gerenciamento de rede em um pacote fácil de usar", diz Witte. "Aproveitando o SIAS™ ajuda as organizações a reduzir sua pegada de ataque, o que minimiza o escopo e o impacto de explorações de ataque como essa."

"No final das contas, eles não podem atacar e explorar o que não podem ver."

 

Perfil do ataque:

Alvo: Colonial Pipeline

Setor: Petróleo e gás, infraestrutura crítica

Data: 05/07/2021

Tipo de ataque: Ransomware

Demanda: Demanda de pelo menos $4.4 milhões de bitcoins, confirmada pelo Colonial como tendo sido paga

Suspeito de ser o autor do crime: DarkSide, uma organização criminosa de ransomware como serviço (RaaS) sediada na Rússia e na Europa Oriental, com suspeitas de vínculos com estados-nação, bem como uma rede de afiliados criminosos co-conspiradores

Método de ataque: 

• Relato de direcionamento de funcionários e extorsão/compra de credenciais de usuários
• Acesso sem controle em toda a rede e nos sistemas de TI e TO
• Mecanismos antidetecção supostamente usados, incluindo a autocriptografia de scripts

Impacto imediato: 

• A Colonial confirmou o pagamento de $4,4 milhões em ransomware em Bitcoin
• A empresa foi forçada a fechar todas as suas 5.500 milhas de oleoduto por vários dias
• Demorou mais de 6 dias para que as operações fossem totalmente retomadas
• Teve impacto sobre os preços já elevados da gasolina e do combustível em todo o país