A Colonial Pipeline, dona do maior oleoduto dos Estados Unidos, está enviando notificações a pessoas afetadas pela violação de dados durante o ataque de ransomware DarkSide que atingiu sua rede em maio. A empresa diz que “descobriu recentemente” que os hackers foram capazes também de coletar e exfiltrar documentos contendo informações pessoais de um total de 5.810 pessoas no ataque.
As informações pessoais roubadas incluem desde nomes e detalhes de contato a informações de saúde e identidade. “Os registros afetados continham informações pessoais, como nome, informações de contato, data de nascimento, identidade emitida pelo governo (como previdência social, identidade militar, CPF e carteira de habilitação) e informações relacionadas à saúde (incluindo saúde informações de seguro)”, diz a Colonial Pipeline na notificação.
A gangue que opera o ransomware DarkSide atingiu as redes da Colonial Pipeline, que fornece cerca de metade de todo o combustível da costa leste dos EUA, em 6 de maio, de acordo com informações de violação apresentadas na semana passada. Durante o incidente, os operadores do DarkSide também roubaram cerca de 100 GB de arquivos de sistemas violados de Pipeline Colonial em cerca de duas horas, de acordo com fontes próximas à investigação.
“Em 7 de maio, a Colonial Pipeline soube que havia sido vítima de um ataque de segurança cibernética”, disse a empresa ao BleepingComputer após o incidente. “Em resposta, colocamos alguns sistemas offline de forma proativa para conter a ameaça, o que interrompeu temporariamente todas as operações do pipeline e afetou alguns de nossos sistemas de TI.”
Veja isso
Senha para VPN da Colonial Pipeline estava na dark web
FBI recupera US$ 2,3 milhões da Colonial Pipeline
A paralisação da Colonial Pipeline foi acompanhada pela Federal Motor Carrier Safety Administration (FMCSA) do Departamento de Transporte, declarando estado de emergência em 17 estados e no Distrito de Columbia.
A gangue do DarkSide, porém, encerrou abruptamente suas operações depois se se tornar alvo de atenção tanto da mídia quanto do governo e das forças de segurança dos EUA.
A decisão de interromper as operações veio depois que a Colonial Pipeline pagou o equivalente a US$ 4,4 milhões em criptomoeda para obter o descriptografador, a maior parte recuperada posteriormente pelo FBI.
Do DarkSide ao BlackMatter
No entanto, menos de dois meses depois, uma nova operação de ransomware conhecida como BlackMatter surgiu, comprando acesso à rede de outros operadores de ameaças para lançar ataques contra vítimas corporativas, com pedidos de resgate que variam de US$ 3 milhões a US$ 4 milhões.
O CTO da Emsisoft e especialista em ransomware Fabian Wosar confirmou que o algoritmo de criptografia Salsa20 encontrado em um descriptografador compartilhado pelo BleepingComputer era usado anteriormente apenas pelo DarkSide e agora pelo BlackMatter. “Depois de examinar um binário decodificador BlackMatter que vazou, estou convencido de que estamos lidando com uma reformulação da marca Darkside aqui”, disse Wosar. “As rotinas criptográficas são uma cópia exata de sua implementação RSA e Salsa20, incluindo o uso de uma matriz personalizada”, completou.Pesquisadores de cibersegurança dizem que a gangue, agora rebatizada de BlackMatter, está atacando ativamente corporações, mas diz que não terá como alvo a “indústria de petróleo e gás (oleodutos, refinarias de petróleo)”, que anteriormente atraiu atenção indesejada e os forçou a mudar a marca.