Diário de um ataque de ransomware: os bastidores do incidente da Colonial Pipeline

Outubro 8, 2021
Kaseya
Ransomware

O ransomware é um golpe devastador para qualquer organização. O dano financeiro é a primeira coisa que vem à mente, mas outros aspectos do incidente podem ser tão ruins ou ainda piores. A interrupção de apenas um ataque de ransomware se espalha por toda a operação e cria um efeito cascata que pode ter consequências de longo alcance. O incidente de ransomware da Colonial Pipeline em maio de 2021 é um bom exemplo de como esse efeito cascata ocorre.   

As empresas afetadas por ransomware perdem uma média estimada de seis dias úteis, e 37% delas passam por um tempo de inatividade de uma semana ou mais. Isso é algo que ninguém pode se dar ao luxo de fazer, especialmente agora com os orçamentos apertados em uma economia incerta. A interrupção na Colonial Pipeline não afetou apenas a produtividade, mas também a vida cotidiana de muitos americanos, chamando a atenção para o perigo de ataques cibernéticos contra alvos de infraestrutura ou serviços essenciais. A maioria dos ataques de ransomware são operações complexas e obscuras, e os detalhes exatos raramente vêm à tona. Mas o incidente com o ransomware da Colonial Pipeline foi amplamente investigado, pesquisado e relatado, o que proporciona uma rara visão interna de como ocorre um ataque de ransomware. 

5 fatos sobre ransomware e empresas a serem lembrados Empresas a serem lembradas 

A história do incidente com o oleoduto Colonial

Configuração da operação 

O grupo de ransomwareDarkSideganhou notoriedade por ter realizado um ataque bem-sucedido contra a Colonial Pipeline, obtendo um ganho estimado em pouco mais de US$ 4 milhões. No entanto, essa operação não foi conduzida diretamente pelos desenvolvedores e operadores do DarkSide. Em vez disso, o ataque à Colonial Pipeline foi executado por um afiliado da operação mais ampla, utilizando o malware proprietário do DarkSide.  Essa afiliada contratou seus próprios subcontratados por meio defóruns da dark webe reuniu recursos de mercados de dados e dumps da dark web para realizar o ataque. 

Então, o grupo de hackers acionou sua armadilha, atacando a Colonial Pipeline em um ataque devastador que paralisou o maior oleoduto dos Estados Unidos. O ponto de entrada do grupo foi uma única senha de funcionário comprometida, que lhes deu acesso total ao sistema. Usando essa senha roubada, o afiliado do DarkSide infiltrou-se na segurança digital reconhecidamente negligente da Colonial Pipeline e entregou sua carga, o ransomware proprietário do DarkSide, para criptografar os sistemas e dados da Colonial Pipeline. Depois disso, veio a parte fácil – o afiliado configurou um temporizador para a ativação do malware, fez sua exigência de resgate e sentou-se para esperar pelo dinheiro.  

Armadilha

Pouco mais de uma semana após a invasão inicial, a infecção por ransomware começou, dando início ao fim da operação da afiliada. Um funcionário que começava seu dia de trabalho na sala de controle central da Colonial Pipeline viu uma nota de resgate exigindo criptomoeda aparecer em seu computador e chamou seu supervisor. Em seguida, começou a corrida da Colonial Pipeline para tentar superar a infecção e preservar seus sistemas e dados. Depois de fechar o oleoduto para tentar reduzir os danos e impedir que os hackers penetrassem ainda mais, a Colonial teve que se esforçar para trazer especialistas para ajudar.  

Os atacantes bloquearam a Colonial Pipeline com um efeito devastador, interrompendo o fornecimento de gasolina em todo o leste dos EUA. O alarde da mídia em torno do ataque levou os consumidores preocupados a esperar em longas filas nos postos de gasolina por medo de uma escassez de combustível iminente e potencialmente duradoura que não se concretizou de fato. Mas isso não importava. Todos os principais veículos de notícias cobriram essa história de grande repercussão e a segurança cibernética tornou-se o assunto favorito de todos, especialmente em relação aos usos da segurança cibernética na guerra e no hacking de estados-nação, embora tenha sido determinado que não se tratava de uma operação de agentes de ameaças de estados-nação, apenas de criminosos cibernéticos gananciosos.  

Colhendo os lucros (e as consequências) 

Além de qualquer resgate pago pela descriptografia, a quadrilha roubou cerca de 100 gigabytes de dados com potencial para serem altamente confidenciais. Isso lhes deu uma oportunidade adicional de lucrar, quer a Colonial Pipeline decidisse ou não pagar o resgate. Além disso, pagar os invasores não significa que os dados da vítima serão devolvidos integralmente e não serão duplicados ou usados em outra operação de crime cibernético. Nunca há garantia de que a quadrilha já não tenha copiado e vendido seus dados e você nunca pode ter certeza de que eles estão dizendo a verdade quando afirmam que não fizeram isso. De fato, menos de 60% das empresas que pagam o resgate conseguem recuperar até mesmo parte de seus dados, e 39% das empresas que pagam o resgate nunca mais veem nenhum de seus dados. 

De qualquer forma, o ataque da afiliada da DarkSide foi um sucesso estrondoso. Os atacantes conseguiram um grande pagamento e um tesouro de dados valiosos. A Colonial Pipeline pagou aos atacantes pelo menos um resgate de US$ 4,4 milhões em pouco tempo. A gangue maior da DarkSide também ganhou dinheiro: de acordo com pesquisadores da FireEye, as afiliadas da DarkSide são obrigadas a enviar cerca de 25% dos pagamentos de resgate inferiores a US$ 500.000 e 10% de qualquer cobrança de resgate bem-sucedida acima de US$ 5 milhões para a gangue maior.  

Os cibercriminosos responsáveis por essa operação causaram grande impacto no cenário mundial e nos círculos de hackers. Eles acumularam recursos que lhes permitiriam realizar futuras operações de cibercrime, reforçaram sua reputação e a do grupo de certa forma, ao mesmo tempo em que criaram um problema que acabou levando ao fim do DarkSide. Uma investigação massiva e bem-financiada sobre as circunstâncias e os participantes do ataque à Colonial Pipeline forçou o DarkSide à clandestinidade, e a organização foi oficialmente dissolvida. Parte do dinheiro do resgate foi posteriormente recuperada pelo FBI em uma operação secreta contra o crime cibernético. 

O ransomware é muito lucrativo, especialmente a variedade de criptografia dupla que a DarkSide preferia. Antes de a gangue ficar obscura após o incidente do Colonial Pipeline, a DarkSide havia recebido US$ 90 milhões em pagamentos de resgate em bitcoin ao longo de sua curta existência, de acordo com analistas de blockchain da Elliptic. Eles também estimaram que o pagamento médio de ransomware em uma operação da DarkSide foi de cerca de US$ 1,9 milhão. Do total arrecadado pelas operações da DarkSide, esses especialistas estimam que US$ 15,5 milhões foram para o desenvolvedor da DarkSide, enquanto US$ 74,7 milhões foram para suas afiliadas. 

A previsão não é boa 

Esse ataque colocou o ransomware no centro de um debate cultural mais amplo sobre como proteger recursos importantes e se defender contra o crime cibernético no mundo digital. Na sequência desse ataque, o governo federal dos EUA lançou o site Ransomware One-Stop para reunir todos os recursos disponíveis do governo em um único local, a fim de oferecer apoio às empresas na luta contra o crime cibernético. Essa é uma adição oportuna de um recurso – os ataques de ransomware continuaram a atingir as empresas, atingindo novos patamares nunca antes vistos no segundo trimestre de 2021.  

  • O ransomware agora é responsável por 69% de todos os ataques envolvendo malware  
  • Isso representa um salto de 30% em relação ao mesmo trimestre de 2020. Esse aumento inclui  
  • Houve um grande salto de 45% nos ataques de ransomware somente em abril de 2021 
  • Pesquisadores do Reino Unido observaram que 22% dos ataques no primeiro trimestre de 2021 foram de ransomware    

O futuro do risco de ransomware 

O que podemos esperar ver na evolução do ransomware e do crime cibernético em um futuro próximo? Aqui estão três de nossas previsões.  

  1.  Mais uso de ransomware como arma 

Em dezembro de 2020, o verdadeiro impacto de um ataque maciço e precisamente direcionado a um estado-nação foi sentido pelo governo dos Estados Unidos e por muitas grandes corporações após uma violação na gigante de software de segurança cibernética SolarWinds. Um emaranhado confuso de back doors, patches falsos, comprometimento de e-mails comerciais, códigos maliciosos, phishing e muito mais foi desvendado, expondo o fato alarmante de que hackers de estado-nação provavelmente patrocinados pela Rússia estavam dentro dos sistemas do governo dos EUA e de agências de defesa há meses, acessando todos os tipos de informações. O mesmo grupo de hackers também foi vinculado a ataques à Microsoft, à Cisco, à FireEye e a outras grandes empresas de tecnologia. Essa é uma das maiores demonstrações até agora do uso do ransomware como ferramenta de espionagem ou mesmo de guerra. 

2. Risco de phishing que não para de crescer  

O risco de phishing está explodindo, com um aumento de quase 300% em 2021 em relação aos números recordes de 2020. Parte desse aumento pode ser atribuída a bloqueios de pandemia em andamento, ampliando o trabalho remoto e novos modelos de trabalho híbrido. Infelizmente, estima-se que 74% das organizações nos Estados Unidos sofreram pelo menos um ataque de phishing em 2020, e 80% dos entrevistados em uma pesquisa no Reino Unido disseram que também sofreram um aumento no número de ataques de phishing que suas organizações enfrentaram. 

3. Aumento dos ataques estratégicos com precisão exata 

Os pesquisadores determinaram que o ransomware direcionado cresceu impressionantes 767%, superando facilmente todos os outros tipos. Esse aumento de mensagens maliciosas cuidadosamente projetadas socialmente foi especialmente sentido na região da APAC. Números recentes registrados por pesquisadores do Reino Unido também contam uma história assustadora, com um aumento recorde de 11% em relação ao ano anterior nos ataques contra alvos do Reino Unido no primeiro trimestre de 2021. As empresas do Reino Unido sofreram 172.079 ataques cibernéticos cada, em média, entre janeiro e março de 2021, o equivalente a 1.912 por dia. Os criminosos cibernéticos estão escolhendo os alvos com sabedoria para obter o máximo benefício de cada ataque e minimizar as investigações policiais que poderiam colocá-los em maus lençóis. 

Descubra o segredo para uma forte defesa contra ransomware 

Para combater o ransomware, é preciso começar por combater o phishing. Implemente rapidamente uma defesa inteligente contra ameaças de ransomware com a segurança de e-mail automatizada e baseada em IA doKaseya 365 . A escolha ideal para combater a enxurrada de e-mails de phishing perigosos que atingem todas as empresas,Kaseya 365 oferece segurança em camadas para maior proteção com três poderosos escudos. 

  • O TrustGraph usa mais de 50 pontos de dados separados para analisar completamente as mensagens recebidas antes de permitir que elas entrem nas caixas de entrada dos funcionários. O TrustGraph também aprende com cada análise concluída, adicionando essas informações à sua base de conhecimento para refinar continuamente sua proteção e continuar aprendendo sem intervenção humana.  
  • O EmployeeShield adiciona uma caixa brilhante e perceptível às mensagens que podem ser perigosas, notificando os funcionários sobre comunicações inesperadas que podem ser indesejáveis e permitindo que os funcionários relatem essa mensagem com um clique para inspeção do administrador.    
  • O Phish911 permite que os funcionários denunciem instantaneamente qualquer mensagem suspeita que receberem. Quando um funcionário relata um problema, o e-mail em questão não é apenas removido da caixa de entrada do funcionário - ele é removido da caixa de entrada de todos e automaticamente colocado em quarentena para análise do administrador. 

A escolha é clara: uma segurança de e-mail inteligente e automatizada é a decisão certa para as empresas em 2021 e nos anos seguintes. Deixe-nos ajudá-lo a proporcionar à sua empresa os grandes benefícios da segurança automatizada por um preço acessível, sem sacrificar a funcionalidade ou a inovação, ao escolherKaseya 365 .Agende uma demonstração hoje mesmo.

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

Um guia prático em duas partes para líderes de TI da região EMEA

Quando um ransomware ataca, o tempo é curto. Conheça os prazos para notificação de incidentes críticos previstos na NIS2, no GDPR e na DORA para manter sua empresa em conformidade.

Leia a postagem do blog

Do phishing ao ransomware: como Kaseya 365 protege suas aplicações SaaS

As aplicações SaaS, como o Microsoft 365 e o Google Workspace, estão presentes em praticamente todos os aspectos das operações digitais atuais. No entanto, à medida que as empresas

Leia a postagem do blog

O que é ransomware como serviço (RaaS)?

O ransomware como serviço é um modelo de negócios em que os criminosos cibernéticos desenvolvem ransomware e o vendem ou alugam para afiliados. Saiba como ele funciona e como impedi-lo.

Leia a postagem do blog