Lições de cibersegurança do ataque de ransomware contra a Colonial Pipeline
- Atualizado em
- Por Naty Santos
- Malwares
Fundada em 1962 e sediada em Alpharetta, Geórgia, a Colonial Pipeline é uma das maiores operadoras privadas de dutos nos Estados Unidos, responsável pelo fornecimento de gás, gasolina, diesel, óleo para aquecimento doméstico, combustível para aviação, suprimentos militares e outras formas de petróleo, para residências e organizações.
A empresa transporta mais de 100 milhões de galões de combustível diariamente, em uma área que vai do Texas à Nova York e fornece cerca de 45% do combustível da Costa Leste dos EUA.
Como aconteceu o incidente
Em 7 de maio deste ano, um ataque de ransomware forçou a Colonial Pipeline a encerrar temporariamente suas operações e congelar os sistemas de TI para isolar a infecção.
Além disso, um fabricante de segurança cibernética foi acionado para socorrê-la.
O que você vai ver neste post
Fatores que podem ter originado o ataque
- Uma vulnerabilidade antiga e não corrigida em um sistema;
- Sistemas desatualizados;
- Um e-mail de phishing que enganou um colaborador com sucesso, usando táticas de engenharia social;
- O uso de credenciais de acesso que foram vazadas ou roubadas por cibercriminosos, ajudando-os a se infiltrar na rede da empresa.
- Um dispositivo vulnerável facilitando a entrada e disseminação na rede da empresa;
- A mudança despreparada para o trabalho remoto.
O trabalho remoto pode ter sido uma brecha
Uma das hipóteses é que os colaboradores tenham acessado remotamente sistemas de controle, usando softwares de desktop remoto, como TeamViewer e Microsoft Remote Desktop, sem a devida proteção para dispositivos, pontos de acesso remoto e redes em geral, facilitando a penetração dos invasores.
Tudo o que os atacantes necessitam é de alguém operando um laptop de forma não autorizada, em uma rede não segura, como um sistema Wi-Fi doméstico, por exemplo.
Impactos do ataque
O ataque de ransomware contra Colonial Pipeline é conhecido como ‘’ameaça contra infraestrutura crítica’’, quando um único incidente é forte o suficiente para impactar toda a sociedade.
Além do impacto financeiro e operacional para a própria empresa, também afetou milhões de pessoas que dependem da entrega de gás e petróleo. Observamos os seguintes efeitos:
- Aumento nos preços da gasolina e longas filas em muitos postos na Costa Leste dos EUA.
- A diminuição da oferta e os valores dos combustíveis aumentarem, impactando toda cadeia de suprimentos.
- Sem a possibilidade de mover produtos refinados das refinarias em Houston e sem local para armazená-los, as refinarias terão que desacelerar a produção.
- As refinarias precisarão de tempo para retornar à operação normal, quando o serviço de oleoduto for restaurado, e o abastecimento de combustível poderá permanecer em níveis abaixo do ideal, mesmo após a recuperação do incidente.
Cibersegurança: Pontos de alerta
- Muitas empresas tratam a cibersegurança como um centro de custo que afeta os resultados financeiros e não aparenta retorno claro sobre o investimento, fazendo com que os recursos para esta área possam ser ignorados.
- A maioria das infraestruturas críticas possui uma mentalidade definida como “configure e esqueça”, não considerando a segurança como um fator importante para seus negócios.
Zero Trust: a saída para prevenir e remediar ataques
Na visão dos especialistas de cibersegurança a melhor forma para proteger colaboradores de infraestrutura crítica, como os fornecedores de energia, transporte, sistemas de água, saúde – é adaptar as redes com controles de segurança de confiança zero, que capacitem funcionários a realizarem seu trabalho de maneira mais segura.
Utilizando soluções de acesso à rede de confiança zero, o acesso será restringido à apenas aos aplicativos que o funcionário ou contratado necessita para fazer seu trabalho.
Além disso, também é interessante que as Organizações adotem autenticação multifator, executem auditorias de segurança regulares para buscar vulnerabilidades e garantam que o backup de dados seja feito regularmente.
A investigação do caso
O ataque de ransomware está sendo investigado pelo FBI, com a assistência da Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA. Ambos atribuíram a investida a um tipo de ransomware chamado DarkSide, desenvolvido por um grupo de Ransomware as a Service (RaaS) de mesmo nome.
No modelo de afiliados do DarkSide, os desenvolvedores do malware recebem de seus parceiros uma parte dos lucros obtidos através de seus métodos de extorsão.
Os afiliados do ransomware costumam utilizar táticas de extorsão dupla, que inclui não apenas criptografia de dados, mas roubo de informações e, seguido da exigência do pagamento das vítimas, ameaçando-as com o vazamento público dos dados roubados.
Posicionamento da Companhia e do Governo norte-americano
Segundo informações da imprensa, o pagamento foi feito para operadores de malware DarkSide em criptomoeda, para receber a chave de descriptografia e restaurar sistemas tornados inoperantes pelo ransomware.
Embora os oleodutos estejam de volta à ativa, levará dias para que o serviço seja normalizado; e os problemas relacionados ao fornecimento já causaram o pânico em algumas cidades dos Estados Unidos.
Em resposta ao incidente, o presidente dos EUA assinou uma ordem executiva exigindo requisitos de segurança mais rígidos para hardware e software, que costumam estar repletos de vulnerabilidades que os cibercriminosos exploram facilmente. Ele também mencionou uma nova força-tarefa do Departamento de Justiça dedicada a processar hackers de ransomware.
Proteger o usuário e seu acesso é o primeiro passo para evitar ameaças avançadas.
A VaultOne fornece segurança de última geração em gerenciamento de acesso privilegiado, protegendo as credenciais em um Cofre de senhas criptografado, evitando espionagem por códigos maliciosos, mantendo a privacidade das suas informações e seus dispositivos em segurança.
Fale hoje mesmo com nossos especialistas e descubra como VaultOne pode ajudar seu negócio.
