Os ataques de ransomware têm vindo a tornar-se uma ocorrência cada vez mais recorrente. O caso da norte-americana Colonial Pipeline, que levou à paralisação de um dos maiores oleodutos nos Estados Unidos, tornou-se rapidamente num dos maiores incidentes do panorama da cibersegurança em 2021, levando o governo norte-americano a agir para mitigar as suas consequências.

Num esquema de dupla extorsão, o grupo de atacantes com ligações à Rússia conhecido como DarkSide terá roubado quase 100 GB de informação da Colonial Pipeline, ameaçando expô-la caso a empresa não pagasse um resgate de 75 Bitcoins, o que tendo em conta a recente desvalorização da criptomoeda equivale a cerca de 4,4 milhões de dólares.

A Colonial Pipeline acabou por aceder ao pedido dos cibercriminosos, mas através de uma operação em colaboração com o FBI e pelo Departamento de Justiça dos Estados Unidos (DOJ) foi possível reaver parte do resgate pago pela empresa. Ao todo, foram recuperadas 63,7 Bitcoins, o equivalente a cerca de 2,3 milhões de dólares.

“O uso de tecnologias sofisticadas para manter como reféns negócios e até mesmo cidades de modo a lucrar é definitivamente um desafio do século 21, mas o velho ditado que diz «segue o dinheiro» ainda se aplica” afirmou Lisa O. Monaco, procuradora-geral dos Estados Unidos, numa conferência de imprensa acerca da operação.

“Os pagamentos de resgate são o combustível que impulsiona o motor da extorsão digital”, enfatizou a procuradora-geral, acrescentando que o anúncio feito demonstra que “os Estados Unidos usarão todas as ferramentas disponíveis” para fazer com que os ataques sejam muito menos lucrativos para os cibercriminosos. “Vamos continuar a centrar as nossas atenções no ecossistema de ransomware de modo a destabilizar e travar estes ataques”.

A apreensão de parte do resgate afirma-se como a primeira operação realizada pela recém-criada task-force do DOJ que inclui membros do FBI, CISA (Cybersecurity and Infrastructure Security Agency) e de outras agências. A task-force passará a coordenar investigações de casos de extorsão digital, mantendo-se a par das técnicas e ferramentas utilizadas pelos cribercriminosos.

"Seguir o dinheiro": Como é que os investigadores chegaram ao resgate? 

No mês passado, o jornal The New York Times tinha já avançado que a quantia paga pela Colonial Pipeline tinha sido retirada da carteira virtual original do grupo DarkSide. De acordo com documentos oficiais da investigação, as autoridades trabalharam em colaboração com a Colonial Pipeline para identificar o percurso virtual do resgate por entre 23 carteiras de criptomoedas operadas pelos cribercriminosos.

Os investigadores acabaram depois por encontrar uma carteira de criptomoedas usada pelo grupo para recolher o resgate de uma vítima, descrita na documentação como “vítima X”, cujos detalhes correspondiam aos da Colonial Pipeline. Com a aprovação de um juiz , que aprovou um mandos investigadores conseguiram aceder à carteira em questão e recuperar parte do resgate, explica o DOJ em comunicado.

Segundo declarações de Paul M. Abbate, vice-diretor do FBI, durante a conferência do DOJ, o FBI começou a investigar o grupo DarkSide desde o ano passado e identificou mais de 90 vítimas de múltiplos setores. Acredita-se que os cibercriminosos terão iniciado as suas operações em agosto do ano passado e que, ainda antes de começaram o seu percurso a solo no mundo do cibercrime, foram afiliados de outro grupo russo chamado REvil.

Recorde-se que semanas depois do ataque à Colonial Pipeline, o grupo REvil atacou a JBS, uma das maiores empresas mundiais de processamento de carnes, forçando-a a encerrar parte da produção em três países. Ainda antes, o grupo esteve também por trás dos ataques de ransomware à Acer e à Quanta Computers, uma fabricante taiwanesa de computadores e equipamentos eletrónicos que trabalha com a Apple.

Password comprometida foi a porta de entrada para o ataque de ransomware à Colonial Pipeline
Password comprometida foi a porta de entrada para o ataque de ransomware à Colonial Pipeline
Ver artigo

Recentemente, uma nova investigação da Mandiant, parte da empresa de cibersegurança FireEye, revelou que a porta de entrada para os cibercriminosos do grupo DarkSide terá sido uma password comprometida. Os hackers ganharam acesso à rede interna da Colonial Pipeline através de uma conta que não estava ativa numa rede virtual privada (VPN) da empresa a 29 de abril.

A password da conta foi descoberta num conjunto de credenciais expostas na Dark Web, o que significa que um funcionário da Colonial Pipeline poderá ter usado a mesma palavra-passe numa outra conta anteriormente comprometida. A conta da VPN também não utilizava autenticação multifactor, permintindo aos cibercriminosos entrarem facilmente na rede interna usando apenas as credenciais em questão.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.