Colonial Pipeline Ransomware Group perde o controle da infraestrutura crítica do servidor
Os criminosos associados ao ataque de ransomware DarkSide, responsável por paralisar as entregas de combustível e o aumento dos preços do combustível nos Estados Unidos, revelaram que seus "servidores foram apreendidos" e o dinheiro transferido para uma "conta desconhecida".
DarkSide Ransomware-as-a-Service cessa as operações
O ataque de ransomware DarkSide no Pipeline Colonial causou uma grande perturbação nos Estados Unidos. O oleoduto transporta produtos petrolíferos refinados a cerca de 5.500 milhas em todo o país, transportando cerca de 3 milhões de barris de petróleo entre o Texas e Nova York por dia e respondendo por cerca de 45% do suprimento de combustível da Costa Leste.
O ataque de ransomware deixou o pipeline crítico off-line, gerando cenas frenéticas enquanto os cidadãos corriam para encher todos os tipos de contêineres com combustível em antecipação à escassez, forçando os preços do gás a chegarem a US $ 3 por galão, o mais alto visto desde 2014.
Além disso, a Colonial anunciou que pagou ao operador de ransomware um resgate de US $ 5 milhões para receber uma ferramenta de descriptografia, mas ainda teve que recorrer à recuperação de dados "tradicional", pois a empresa de ransomware não respondeu rápido o suficiente. Embora isso soe como um cenário de ganho mútuo para uma empresa de ransomware, outras vítimas podem se recusar a pagar o resgate se acharem que a empresa não fornecerá ajuda depois.
Agora, na virada dos acontecimentos, os operadores de ransomware como serviço informaram suas afiliadas que haviam perdido o controle de uma parte significativa da própria rede de ransomware, incluindo servidores de pagamento, juntamente com fundos que foram transferidos para outras contas inacessíveis .
A postagem foi feita em um fórum de crime russo, embora as empresas de segurança cibernética que monitoram o caso, como a Mandiant da FireEye, tenham levantado suspeitas sobre os anúncios repentinos.
A postagem citou a pressão da aplicação da lei e a pressão dos Estados Unidos para esta decisão. A @Mandiant não validou de forma independente essas afirmações e há algumas especulações de outros atores de que isso poderia ser um golpe de saída. (3/3)
– FireEye (@FireEye) 14 de maio de 2021
Não apenas o momento é altamente suspeito, mas também se encaixa em outras operações de ransomware como serviço vistas anteriormente. Depois de uma pontuação bem-sucedida, o serviço sai do mapa por um tempo, ressurgindo em uma data posterior com um novo alvo.
No entanto, o anúncio veio com um pequeno bônus para outras vítimas do mesmo ransomware. Antes de fechar a loja, o operador do ransomware fornecerá decodificadores para qualquer pessoa que ainda não pagou o resgate, encaixando-se na mensagem anterior do operador de que eles estão nisso apenas pelo dinheiro, para não causar interrupção real e danos à propriedade.
Por mais nobre que seja, o dano para muitas pessoas já está feito.
Ransomware como um serviço mantém a atividade criminosa ágil
O ransomware continua a ser um flagelo, com as vítimas enfrentando a batalha eterna entre pagar para descriptografar e recuperar arquivos, sabendo o tempo todo que esses fundos estão alimentando atividades criminosas.
Nesse caso, a Colonial sentiu que não havia escolha a não ser pagar para receber um descriptografador – mesmo se o processo falhou.
Muitas empresas querem que os pagamentos de ransomware sejam proibidos, afirmando que o pagamento apenas incentiva os criminosos a realizar mais ataques. Mas enquanto os ataques continuam e governos, empresas e serviços públicos sofrem, o pagamento dos resgates deve certamente ser feito caso a caso.