O governo dos EUA declarou estado de emergência em algumas regiões do país no domingo (09/05) depois que a maior rede de gasodutos do país sofreu um ataque cibernético na noite de sexta-feira, paralisando o fluxo de combustível.
Um grupo de hackers desconectou completamente a rede e roubou mais de 100 GB de informações do oleoduto da empresa Colonial. O duto transporta mais de 2,5 milhões de barris de óleo por dia, o que corresponde a 45% do abastecimento de diesel, gasolina e querosene de aviação da costa leste dos EUA.
Analistas do mercado de petróleo dizem que, como consequência, os preços dos combustíveis devem subir entre 2% e 3% nesta segunda-feira. Mas o impacto será ainda pior se o “apagão” do oleoduto continuar por muito mais tempo.
Os EUA trabalharam na noite de domingo para restaurar o serviço, mas devido às constantes falhas nas linhas principais, o governo decidiu decretar o estado de emergência para facilitar o transporte de combustível por outros meios, principalmente rodoviários.
“Esta emergência é uma resposta ao fechamento inesperado do sistema de dutos da Colonial devido a problemas de rede que afetam o fornecimento de gasolina, diesel, querosene de aviação e outros produtos petrolíferos refinados nos Estados afetados”, disse o Departamento de Transportes, em nota oficial.
O estado de emergência abrange 17 Estados do país e suspende as restrições de horário para o transporte rodoviário de combustíveis.
O que se sabe sobre o ataque cibernético?
Várias fontes confirmaram que o ataque cibernético foi causado por um grupo de hackers chamado DarkSide, que se infiltrou na rede da Colonial na quinta-feira.
“Pouco depois de tomar conhecimento do ataque, a Colonial desligou de forma proativa certos sistemas para conter a ameaça. Essas ações interromperam temporariamente todas as operações do oleoduto e afetaram alguns de nossos sistemas de tecnologia, que estamos ativamente em processo de restaurar”, disse a empresa.
A empresa de energia disse em um comunicado que está trabalhando com as autoridades policiais, especialistas em segurança cibernética e o Departamento de Energia para restaurar o serviço.
No comunicado, a Colonial especifica que embora as suas quatro linhas principais permaneçam fora de serviço, algumas linhas laterais menores entre os terminais e os pontos de entrega já estão funcionando.
“Estamos em processo de restauração do serviço para outras laterais e colocaremos todo o nosso sistema online novamente somente quando julgarmos seguro fazê-lo e em total conformidade com a aprovação de todas as regulamentações federais”, esclareceu.
O analista independente de mercado Gaurav Sharma disse à BBC que, como resultado do ataque, agora há muito combustível encalhado nas refinarias do Texas. Com o estado de emergência, os produtos petrolíferos poderão ser enviados por caminhões-pipa para Nova York, mas ainda assim isso não ficaria abaixo da capacidade do oleoduto.
“A menos que eles resolvam tudo até terça-feira, eles estarão com um grande problema”, diz Sharma.
“As primeiras áreas a serem afetadas serão Atlanta e Tennessee, e depois o efeito cascata chegará a Nova York”, disse ele.
O ataque cibernético ocorre em um momento em que as reservas dos EUA estão diminuindo e a demanda, especialmente por combustíveis para veículos, está aumentando. Os consumidores estão voltando às estradas na medida em que a economia dos EUA tenta se recuperar dos efeitos da pandemia.
Como o ataque aconteceu?
De acordo com a Digital Shadows, uma empresa de segurança cibernética com sede em Londres que rastreia criminosos cibernéticos globais, o ataque ocorreu porque os hackers encontraram uma maneira de penetrar no sistema se aproveitando do grande número de engenheiros que acessam remotamente os sistemas de controle do oleoduto.
James Chappell, cofundador e diretor de inovação da Digital Shadows, acredita que a DarkSide obteve detalhes de login de programas de acesso remoto, como TeamViewer e Microsoft Remote Desktop.
A pesquisa inicial da Digital Shadows sugere que os hackers provavelmente estão baseados em um país de língua russa.
Chappell diz que é possível que qualquer pessoa procure os portais de login de computadores conectados à Internet em mecanismos de busca como Shodan e, em seguida, hackers continuem tentando combinações de nomes de usuário e senhas até que alguma delas funcione.
“Estamos vendo muitas casos assim agora, este é um problema sério”, diz Chappell.
“Todos os dias há novas vítimas. Há muitas pequenas empresas que são vítimas disso — está se tornando um grande problema para a economia global.”
Como a DarkSide opera?
Embora a DarkSide não seja a maior dessas gangues de hackers, o incidente destaca o risco crescente que o ransomware (em que um bloqueio online é feito por criminosos, que cobram um pagamento, geralmente em criptomoedas, para liberar o acesso) representa para a infraestrutura industrial de segurança, e não apenas para o mundo dos negócios.
A DarkSide costuma dar golpes do tipo ransomware. As vítimas de um ataque DarkSide recebem um pacote de informações informando que seus computadores e servidores estão criptografados.
A quadrilha lista então todos os dados que roubou e envia às vítimas o link para uma “página de vazamento pessoal” onde os dados já estão carregados, aguardando a publicação automática, caso a empresa ou organização se negue a pagar o resgate.
De acordo com a Digital Shadows, a DarkSide opera de forma profissional, como se fosse uma empresa.
A quadrilha desenvolve seu próprio software usado para criptografar e roubar dados, e depois treina agentes “afiliados”, que recebem um kit de ferramentas contendo o software, um template de ransomware por e-mail e treinamento para realizar ataques.
Os cibercriminosos afiliados então pagam à DarkSide uma porcentagem de seus ganhos de quaisquer ataques de ransomware bem-sucedidos.
Em março, quando lançou seu novo software que podia criptografar dados mais rápido do que antes, a gangue chegou a divulgar um comunicado à imprensa e convidou jornalistas para entrevistar seus integrantes.
Os hackers têm um site na dark web onde se orgulham de seu trabalho e fornecem detalhes sobre suas operações, listando todas as empresas hackeadas e o que foi roubado. Eles também têm uma página com um “código de ética”, listando quais organizações a gangue se compromete a não atacar.
A DarkSide também funciona com “access brokers” (intermediários de acesso) — que são hackers que trabalham para coletar os detalhes de login para o maior número possível de contas de usuários em diversos serviços.
Em vez de invadir essas contas, esses intermediários de acesso vendem esses dados de usuário e senha para quem pagar mais — em geral, outras gangues de cibercriminosos que usam esses dados para cometer crimes muito maiores.