Os ataques de ransomware têm vindo a tornar-se uma ocorrência cada vez mais recorrente. O caso da norte-americana Colonial Pipeline, que levou à paralisação de um dos maiores oleodutos nos Estados Unidos, tornou-se rapidamente num dos maiores incidentes do panorama da cibersegurança em 2021, levando o governo norte-americano a agir para mitigar as suas consequências.

Num esquema de dupla extorsão, o grupo de atacantes com ligações à Rússia conhecido como DarkSide terá roubado quase 100 GB de informação da Colonial Pipeline, ameaçando expô-la caso a empresa não pagasse um resgate de 75 Bitcoins, o que tendo em conta a recente desvalorização da criptomoeda equivale a cerca de 4,4 milhões de dólares.

A Colonial Pipeline acabou por aceder ao pedido dos cibercriminosos, mas através de uma operação em colaboração com o FBI e pelo Departamento de Justiça dos Estados Unidos (DOJ) foi possível reaver parte do resgate pago pela empresa. Ao todo, foram recuperadas 63,7 Bitcoins, o equivalente a cerca de 2,3 milhões de dólares.

“O uso de tecnologias sofisticadas para manter como reféns negócios e até mesmo cidades de modo a lucrar é definitivamente um desafio do século 21, mas o velho ditado que diz «segue o dinheiro» ainda se aplica” afirmou Lisa O. Monaco, procuradora-geral dos Estados Unidos, numa conferência de imprensa acerca da operação.

“Os pagamentos de resgate são o combustível que impulsiona o motor da extorsão digital”, enfatizou a procuradora-geral, acrescentando que o anúncio feito demonstra que “os Estados Unidos usarão todas as ferramentas disponíveis” para fazer com que os ataques sejam muito menos lucrativos para os cibercriminosos. “Vamos continuar a centrar as nossas atenções no ecossistema de ransomware de modo a destabilizar e travar estes ataques”.

A apreensão de parte do resgate afirma-se como a primeira operação realizada pela recém-criada task-force do DOJ que inclui membros do FBI, CISA (Cybersecurity and Infrastructure Security Agency) e de outras agências. A task-force passará a coordenar investigações de casos de extorsão digital, mantendo-se a par das técnicas e ferramentas utilizadas pelos cribercriminosos.

"Seguir o dinheiro": Como é que os investigadores chegaram ao resgate? 

No mês passado, o jornal The New York Times tinha já avançado que a quantia paga pela Colonial Pipeline tinha sido retirada da carteira virtual original do grupo DarkSide. De acordo com documentos oficiais da investigação, as autoridades trabalharam em colaboração com a Colonial Pipeline para identificar o percurso virtual do resgate por entre 23 carteiras de criptomoedas operadas pelos cribercriminosos.

Os investigadores acabaram depois por encontrar uma carteira de criptomoedas usada pelo grupo para recolher o resgate de uma vítima, descrita na documentação como “vítima X”, cujos detalhes correspondiam aos da Colonial Pipeline. Com a aprovação de um juiz , que aprovou um mandos investigadores conseguiram aceder à carteira em questão e recuperar parte do resgate, explica o DOJ em comunicado.

Segundo declarações de Paul M. Abbate, vice-diretor do FBI, durante a conferência do DOJ, o FBI começou a investigar o grupo DarkSide desde o ano passado e identificou mais de 90 vítimas de múltiplos setores. Acredita-se que os cibercriminosos terão iniciado as suas operações em agosto do ano passado e que, ainda antes de começaram o seu percurso a solo no mundo do cibercrime, foram afiliados de outro grupo russo chamado REvil.

Recorde-se que semanas depois do ataque à Colonial Pipeline, o grupo REvil atacou a JBS, uma das maiores empresas mundiais de processamento de carnes, forçando-a a encerrar parte da produção em três países. Ainda antes, o grupo esteve também por trás dos ataques de ransomware à Acer e à Quanta Computers, uma fabricante taiwanesa de computadores e equipamentos eletrónicos que trabalha com a Apple.

Password comprometida foi a porta de entrada para o ataque de ransomware à Colonial Pipeline
Password comprometida foi a porta de entrada para o ataque de ransomware à Colonial Pipeline
Ver artigo

Recentemente, uma nova investigação da Mandiant, parte da empresa de cibersegurança FireEye, revelou que a porta de entrada para os cibercriminosos do grupo DarkSide terá sido uma password comprometida. Os hackers ganharam acesso à rede interna da Colonial Pipeline através de uma conta que não estava ativa numa rede virtual privada (VPN) da empresa a 29 de abril.

A password da conta foi descoberta num conjunto de credenciais expostas na Dark Web, o que significa que um funcionário da Colonial Pipeline poderá ter usado a mesma palavra-passe numa outra conta anteriormente comprometida. A conta da VPN também não utilizava autenticação multifactor, permintindo aos cibercriminosos entrarem facilmente na rede interna usando apenas as credenciais em questão.