Como a Colonial Pipeline mitigou o ataque de ransomware

Você deve entrar em contato com as autoridades sobre ransomware?

O recente ataque de ransomware à Colonial Pipeline, a empresa que controla a rede de dutos que fornece combustível para uma grande parte da costa leste dos Estados Unidos, é um dos mais importantes que se tem memória. Compreensivelmente, detalhes não foram divulgados, mas algumas informações chegaram à mídia e podemos tirar ao menos uma lição: informar prontamente as autoridades policiais pode reduzir os danos. Claro, nem todos têm escolha – em alguns países, as vítimas são obrigadas a comunicar às agências reguladoras. No entanto, mesmo quando não for a lei, essa ação pode ser útil.

O ataque

Em 7 de maio, um golpe de ransomware atingiu a Colonial Pipeline, que opera o maior duto de transferência de combustível da costa leste dos Estados Unidos. Os funcionários tiveram de desligar alguns sistemas de informação, em parte porque alguns computadores estavam criptografados e em parte para evitar que a infecção se propagasse. Isso causou atrasos no fornecimento de combustível, gerando aumento de 4% nos contratos futuros de gasolina.

A empresa continua restaurando seus sistemas, mas de acordo com o blog Zero Day, o problema está mais no sistema de faturamento do que nas redes de serviço.

Bloqueio federal

Operadores de ransomware atuais não apenas criptografam dados e exigem resgate para descriptografá-los, mas também roubam informações como forma de extorsão. No caso da Colonial Pipeline, os invasores desviaram cerca de 100GB de dados da rede corporativa.

No entanto, de acordo com o Washington Post, os investigadores de incidentes externos rapidamente descobriram o que havia acontecido e onde estavam os dados roubados, e então contataram o FBI. Os federais, por sua vez, abordaram o provedor que possuía o servidor com as informações carregadas e o isolaram. Como resultado, os cibercriminosos podem ter perdido o acesso às informações que roubaram da Colonial Pipeline. Essa ação rápida mitigou pelo menos parcialmente o dano.

Saber o que aconteceu não traz os principais sistemas da empresa de volta online, mas o dano, embora considerável, poderia ter sido muito pior.

Atribuição do crime

Parece que a empresa foi atacada por um ransomware do DarkSide, que pode ser executado tanto no Windows quanto no Linux. Nossos produtos detectam o malware como Trojan-Ransom.Win32.Darkside e Trojan-Ransom.Linux.Darkside. O DarkSide usa algoritmos de criptografia fortes, tornando impossível a restauração de dados sem a chave certa.

Superficialmente, o grupo DarkSide parece um provedor de serviços online, completo com helpdesk, departamento de relações públicas e centro de imprensa. Uma nota no site dos criminosos diz que sua motivação para o ataque foi financeira, não política.

O grupo DarkSide usa um modelo de ransomware como serviço, fornecendo software e infraestrutura relacionada aos parceiros que realizam os ataques. Um desses sócios era responsável pela segmentação da Colonial Pipeline. De acordo com o DarkSide, o grupo não pretendia causar consequências sociais tão graves e, daqui em diante, manterá um olhar mais atento sobre as vítimas que seus “intermediários” escolherão, mas é difícil levar uma declaração em uma longa lista de truques de relações públicas muito a sério.

Como se proteger

Para proteger sua empresa contra ransomware, nossos especialistas recomendam o seguinte:
● Proíba conexões desnecessárias com serviços de área de trabalho remota (como RDP) de redes públicas e sempre use senhas fortes para esses serviços;
● Instale todas patches de atualização disponíveis para soluções VPN que você usa para conectar funcionários remotos à rede corporativa;
● Atualize os software em todos os dispositivos conectados para evitar a exploração de vulnerabilidades;
● Foco na estratégia de defesa na detecção de movimento lateral e exfiltração de dados, com atenção especial para todo o tráfego de saída;
● Faça backup dos dados regularmente e certifique-se de que, em caso de emergência, você tenha acesso imediato aos backups;
● Aproveite os dados de inteligência contra ameaças para se manter atualizado sobre táticas, técnicas e procedimentos de ataque;
● Use soluções de segurança como Kaspersky Endpoint Detection and Response e Kaspersky Managed Detection and Response que ajudam a interromper os ataques logo no início;
Treine funcionários para cuidar da segurança do ambiente corporativo;
● Tenha uma solução confiável para proteção de endpoint que contorna exploits, detecta comportamento anômalo, pode reverter alterações maliciosas e restaurar o sistema.

O exemplo da Colonial Pipeline mostra a vantagem de entrar em contato com as autoridades legais – e rapidamente. Não há garantia de que eles serão capazes de ajudar, é claro, mas pode minimizar o dano.

Dicas