Empresa de oleoduto dos EUA é atacada por ransomware

Empresa de oleoduto dos EUA é atacada por ransomware. A Colonial Pipeline Company afirma ter sido vítima de um ataque cibernético que obrigou o principal fornecedor de combustíveis líquidos para a Costa Leste a suspender temporariamente todas as operações do oleoduto.

A maior operadora de oleoduto dos EUA, Colonial Pipeline, fechou toda a sua rede, a fonte de quase metade do abastecimento de combustível da Costa Leste dos EUA, após um ataque cibernético que, segundo a empresa, foi causado por ransomware. 

Um ataque de ransomware está sendo responsabilizado por interromper as atividades do oleoduto para a Colonial Pipeline Company, que abastece a Costa Leste com cerca de 45% de seus combustíveis líquidos. A Colonial transporta 2,5 milhões de barris por dia de gasolina, diesel, combustível de aviação e outros produtos refinados por meio de 5.500 milhas (8.850 km) de oleodutos ligando refinadores na Costa do Golfo ao leste e sul dos Estados Unidos.

O incidente é uma das operações de resgate digital mais perturbadoras já relatadas e chamou a atenção para o quão crítica a infraestrutura de energia dos EUA é vulnerável aos hackers. O fechamento aumentou os temores de um aumento no preço das bombas de gasolina antes do pico da temporada de carros no verão, se persistir.

Em um comunicado divulgado no sábado, dia 07 de maio, a Colonial Pipeline Company disse que suspendeu temporariamente as operações de dutos em resposta a um ataque cibernético que afetou a empresa na sexta-feira.

Em 7 de maio, a Colonial Pipeline Company soube que foi vítima de um ataque de segurança cibernética. Desde então, determinamos que este incidente envolve ransomware ”, escreveu a empresa em um comunicado no sábado .

Como precaução, a empresa desligou os principais sistemas de forma proativa para evitar novas infecções.

Em resposta, colocamos alguns sistemas off-line de forma proativa para conter a ameaça, o que interrompeu temporariamente todas as operações do oleoduto e afetou alguns de nossos sistemas de TI”, afirmou a empresa. “Ao saber do problema, uma importante empresa de segurança cibernética terceirizada foi contratada e eles iniciaram uma investigação sobre a natureza e o escopo deste incidente, que está em andamento”.

A empresa, que fornece gasolina e óleo diesel para a Costa Leste, disse que também contatou as autoridades policiais e outras agências federais. “A Colonial Pipeline está tomando medidas para entender e resolver esse problema. Neste momento, nosso foco principal é a restauração segura e eficiente de nosso serviço e nossos esforços para retornar à operação normal ”, de acordo com o comunicado.

O que sabemos sobre o ataque ao oleoduto de Colonial

Muitas questões ainda são desconhecidas: como o duto foi encerrado por precaução ou como resultado do ataque cibernético? Quem estava por trás do ataque e quão sofisticados eram os invasores quando se tratava de alvejar e infectar sistemas críticos da Colonial Pipeline Company?

Ainda não está claro se eles desligaram o pipeline por excesso de cautela para impedir a disseminação da carga útil do ransomware ou se eles não podem operar o pipeline porque os sistemas OT foram impactados ou são dependentes de sistemas de TI”, escreveu Dave White, presidente da Axio, em um e-mail para Threatpost.

Ang Cui, CEO da Red Balloon Security, que faz pesquisas avançadas de ameaças para o DOD e DHS, com foco em dispositivos incorporados e ICS, disse que provavelmente foi um ataque criminoso, não de um Estado-nação.

Embora a Colonial tenha encerrado suas operações, isso não significa necessariamente que o ICS foi comprometido”, escreveu Cui em uma declaração por e-mail sobre os ataques cibernéticos coloniais. “Pode ser que eles não tivessem separação suficiente entre os sistemas de TI e OT, então eles puxaram o plugue antes que os invasores percebessem que tinham acesso a esses sistemas sensíveis – o que teria aumentado significativamente o custo do resgate, além de comprometendo os controles físicos. ”

A Colonial contratou uma empresa de segurança cibernética para iniciar uma investigação e contatou as agências policiais e federais, disse.

A empresa de segurança cibernética FireEye foi contratada para responder ao ataque, disseram as fontes da indústria de segurança cibernética. FireEye não quis comentar.

Órgãos do governo dos EUA disseram estar cientes da situação. O Departamento de Energia disse que está monitorando os impactos potenciais ao suprimento de energia do país, enquanto a Agência de Segurança de Infraestrutura e Segurança Cibernética e a Administração de Segurança de Transporte disseram à Reuters que estão trabalhando na situação.

Estamos engajados com a empresa e nossos parceiros interagências em relação à situação. Isso ressalta a ameaça que o ransomware representa para as organizações, independentemente do tamanho ou setor ”, disse Eric Goldstein, diretor-assistente executivo da divisão de segurança cibernética da CISA. A Colonial não deu mais detalhes ou disse por quanto tempo seus dutos ficarão fechados. 

Bullseye na infraestrutura crítica

Em fevereiro de 2020, a Cibersegurança e Agência de Segurança de Infraestrutura (CISA) emitiu um alerta avisando que alvos de infraestrutura crítica, como pipelines, estavam cada vez mais sendo alvos de hackers. O alerta foi disparado por um ataque de ransomware que atingiu uma instalação de compressão de gás natural nos Estados Unidos que causou o desligamento de uma vítima não identificada por dois dias.

O comprometimento inicial da rede de TI levou o ciberataque a implantar um “ransomware de mercadoria” para criptografar dados nas redes de TI e OT. A capacidade de pivotar foi graças à falta de segmentação de rede entre as partes de TI e OT da infraestrutura, disse a CISA na época.

A economia dos EUA é extremamente dependente da infraestrutura de gasodutos de energia. É importante que todos os proprietários de ativos de energia crítica e o governo federal realizem análises de risco e estudos de quantificação econômica para entender a escala do impacto de eventos como este e apoiar o investimento em proteções adequadas ”, escreveu White em um comunicado enviado por e-mail ao Threatpost no sábado.

Cui disse acreditar que uma parte fundamental do problema, em ataques de infraestrutura crítica, é que as operadoras muitas vezes não isolam ou protegem esses sistemas. “Para começar, os fornecedores não estão protegendo esses dispositivos ICS e a correção é difícil”, escreveu ele.

Fonte: ThreatPost & LeaderPost

Veja também:

Sobre mindsecblog 1783 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Por que sua postura de segurança cibernética deve ser de confiança zero
  2. Ransomware Task Force: É hora de acabar com o ransomware

Deixe sua opinião!