Há quase três anos, a Colonial Pipeline foi atacada, forçando o fechamento de seu sistema de gasodutos por seis dias e resultando em escassez de gás. Washington, D.C., e outros 17 estados declararam estado de emergência.

Visão geral do ataque ao oleoduto colonial

Em maio de 2021, o oleoduto Colonial Pipeline foi vítima de um ataque de ransomware, que afetou diversos sistemas digitais e causou alguns dias de paralisação. O incidente impactou tanto consumidores quanto companhias aéreas ao longo da Costa Leste dos Estados Unidos. Foi considerado um risco à segurança nacional, pois o oleoduto transporta petróleo de refinarias para mercados industriais. Isso levou o presidente dos EUA, Joe Biden, a declarar estado de emergência.

O Oleoduto Colonial é um dos maiores e mais importantes oleodutos dos Estados Unidos, tendo iniciado suas operações em 1962 para transportar petróleo do Golfo do México para os estados da Costa Leste. O sistema compreende mais de 8.850 quilômetros de dutos, começando no Texas e atravessando Nova Jersey, transportando quase metade do combustível para a Costa Leste. Ele fornece petróleo refinado para gasolina, querosene de aviação e óleo para uso doméstico.

Em maio de 2021, muitos postos de gasolina nos Estados Unidos ficaram sem combustível devido a uma interrupção no sistema de gasodutos da Colonial Pipeline. Foto: NBC News

Em 6 de maio de 2021, o grupo de hackers DarkSide acessou a rede da Colonial Pipeline, roubando 100 GB de dados em duas horas. Em seguida, infectaram a rede de TI com ransomware, afetando vários sistemas de computador, incluindo os sistemas de contabilidade e faturamento.

A Colonial Pipeline teve que interromper o funcionamento do oleoduto para impedir a propagação do ransomware. Posteriormente, a empresa de segurança Mandiant foi contratada para investigar o ataque. O FBI, a Agência de Segurança Cibernética e de Infraestrutura (CISA), o Departamento de Energia e o Departamento de Segurança Interna também se envolveram na investigação.

Em 7 de maio de 2021, a maior empresa de gasodutos dos Estados Unidos pagou um resgate de 75 Bitcoins, equivalentes a aproximadamente US$ 4,4 milhões, a hackers para obter a chave de descriptografia. O gasoduto voltou a operar em 12 de maio de 2021.

Durante uma audiência no Congresso em 8 de junho de 2021, Charles Carmakal, vice-presidente sênior e diretor de tecnologia da Mandiant, afirmou que os invasores se infiltraram na rede usando senhas vazadas de uma conta VPN. Muitas organizações usam VPNs para acessar suas redes corporativas remotamente com segurança.

Segundo o depoimento de Carmakal, um funcionário da Colonial Pipeline aparentemente compartilhou a senha da VPN com outra conta, mas essa senha foi comprometida em uma violação de dados separada. Compartilhar a mesma senha entre várias contas é um erro comum.

Durante a audiência, o CEO da Colonial Pipeline, Joseph Blount, também explicou sua decisão de pagar o resgate. Na época do ataque, ele desconhecia a extensão da falha ou quanto tempo levaria para restaurar o sistema. Portanto, tomou a decisão na esperança de acelerar o processo de recuperação.

O Departamento de Justiça dos EUA, após rastrear o pagamento, descobriu o endereço digital da carteira usada pelo invasor e obteve uma ordem judicial para apreender os Bitcoins. Como resultado, a operação recuperou 64 dos 75 Bitcoins, avaliados em aproximadamente US$ 2,4 milhões.

O "legado" do ataque ao oleoduto colonial.

Pela primeira vez, o ransomware atraiu a atenção nacional, forçando o Congresso a aprovar novas leis e levando diversas agências federais a emitir novos requisitos de segurança cibernética. Ataques de ransomware não são novidade; eles já devastaram governos, instalações de saúde e escolas antes de a Colonial Pipeline se tornar uma vítima. No entanto, o que o diferencia é seu impacto regional, de acordo com Ben Miller, vice-presidente de serviços de segurança de infraestrutura da Dragos.

Charles Carmakal, vice-presidente sênior da Mandiant, a empresa de segurança que auxiliou na investigação do incidente em Colonial, comentou: “Mais tarde, descobri que existe um certo nível de atenção quando algo realmente impacta a vida das pessoas. Quando afeta o fornecimento de gasolina e carne, as pessoas se importam de verdade.”

Devido ao incidente com o oleoduto Colonial, muitas companhias aéreas estão enfrentando escassez de combustível e alguns aeroportos estão sujeitos a restrições operacionais. A preocupação com a falta de combustível causou pânico na população, levando a longas filas em postos de gasolina em muitos estados. Além disso, os preços médios da gasolina dispararam devido à interrupção do fornecimento. Em alguns estados, as pessoas estão até mesmo transferindo gasolina para sacolas plásticas, o que levou a Comissão de Segurança de Produtos ao Consumidor dos EUA a emitir um alerta para que se utilizem apenas recipientes apropriados para gasolina.

O ataque ao oleoduto Colonial forçou todos a considerarem seriamente os riscos de segurança e a implementarem políticas que antes eram negligenciadas. De acordo com Mike Hamilton, ex-chefe de Segurança da Informação da cidade de Seattle, convencer o governo federal a priorizar os requisitos de segurança para infraestruturas críticas foi uma tarefa difícil.

Incidentes subsequentes no final de 2021 – incluindo um que teve como alvo a produtora de carne JBS Foods – aumentaram ainda mais a pressão sobre legisladores, reguladores e executivos. Eles serviram de catalisador para que a liderança reconsiderasse seus próprios planos de resposta a ataques de ransomware. Segundo Miller, o nível de atenção a esses planos de resposta tornou-se muito mais detalhado.

No entanto, as regulamentações e o setor ainda precisam mudar. Wendi Whitmore, vice-presidente sênior da Unidade 42 de Inteligência de Ameaças da Palo Alto Networks, argumenta que são necessários acordos multilaterais entre os países para combater o ransomware.

(De acordo com Axios, Tech Target)