Gigante de oleodutos pagou 5 milhões a hackers para evitar caos nos EUA. "Foi um valor baixo"

A Colonial Pipeline, a maior operadora de oleodutos dos EUA, recomeçou a operar na quarta-feira, dias depois de ter sido forçada a encerrá-los devido a um ataque de piratas informáticos. Tudo indica, pagou 5 milhões de dólares aos hackers. Valor pago por ataques de ransomware disparou 311% em 2020.

João Tomé
Bomba de combustível na Virginia, EUA, a 12 de maio, inoperacional após o ataque de ransowear à empresa Colonial Pipeline © EPA/SHAWN THEW
epa09191368 In a picture taken with a drone, a Colonial Pipeline facility in Woodbridge, New Jersey, USA, 11 May 2021. A cyberattack forced the shutdown of 5,500 miles of Colonial Pipeline's sprawling interstate system, which carries gasoline and jet fuel from Texas to New York. The FBI confirmed that Darkside ransomware is responsible for the attack that compromised the Atlanta-based pipeline company. EPA/JUSTIN LANE © EPA
epa09194766 Fuel-hungry drivers pull into a QuikTrip station which has no gasoline to sell in Atlanta, Georgia, USA, 12 May 2021. A cyberattack forced the shutdown of 5,500 miles of Colonial Pipeline's sprawling interstate system, which carries gasoline and jet fuel from Texas to New York. The FBI confirmed that Darkside ransomware is responsible for the attack that compromised the Atlanta-based pipeline company and impacts from the shutdown has affected local gasoline supplies and prices especially in the Southeastern US. EPA/ERIK S. LESSER © EPA
epa09191628 A Colonial Pipeline facility in Woodbridge, New Jersey, USA, 11 May 2021. A cyberattack forced the shutdown of 5,500 miles of Colonial Pipeline's sprawling interstate system, which carries gasoline and jet fuel from Texas to New York. The FBI confirmed that Darkside ransomware is responsible for the attack that compromised the Atlanta-based pipeline company. EPA/JUSTIN LANE © EPA
epa09185941 An image made with a drone shows fuel tanks at a Colonial Pipeline breakout station in Woodbine, Maryland, USA, 08 May 2021. A cyberattack forced the shutdown of 5,500 miles of Colonial Pipeline's sprawling interstate system, which carries gasoline and jet fuel from Texas to New York. EPA/JIM LO SCALZO © EPA
epa09191630 A picture taken with a drone shows Tanker trucks, some used for transporting petroleum, on a trucking company lot near a Colonial Pipeline facility in Woodbridge, New Jersey, USA, 11 May 2021. A cyberattack forced the shutdown of 5,500 miles of Colonial Pipeline's sprawling interstate system, which carries gasoline and jet fuel from Texas to New York. The FBI confirmed that Darkside ransomware is responsible for the attack that compromised the Atlanta-based pipeline company. EPA/JUSTIN LANE © EPA

É pouco conhecida da maioria das pessoas, mas a sua influência é enorme. A Colonial Pipeline é a maior operadora de oleodutos dos EUA (com 8850 km de oleodutos) e foi alvo de um ataque informático bem sucedido a semana passada que levou à rutura do fornecimento de combustível a mais de mil bombas do Sudeste dos EUA.

Gerou-se o pânico e longas filas, devido aos problemas de distribuição e desde esta quarta-feira que a situação começou a voltar ao normal. Mas, de acordo com a Bloomberg, a empresa pagou mesmo cerca de 5 milhões de dólares (4,14 milhões de euros) a hackers do Leste Europeu na passada sexta-feira para conseguir voltar ter acesso pleno ao maior oleoduto do país.

A informação foi avançada à publicação por duas pessoas próximas da transação e contradiz indicações dadas no início da semana de que a empresa não tinha qualquer intenção de pagar o tal valor de resgate para ajudar a restaurar a sua operação.

Tudo indica que a Colonial Pipeline, com sede na Geórgia, pagou o resgate em criptomoedas não rastreáveis algumas ​​horas após o ataque, numa altura em que estava sobre enorme pressão para evitar que a gasolina e o combustível de aviação não parassem de chegar às principais cidades da costa leste dos EUA.

A Bloomberg explica ainda que o governo dos EUA sabe do pagamento e que os hackers deram à empresa uma ferramenta de ultrapassar a encriptação colocada e restaurar a sua rede de computadores que foi desativada - algo que se revelou um processo muito lento.

A Colonial não quis comentar a notícia do pagamento, certo é recomeçou o funcionamento das operações ao final do dia de quarta-feira, avançando em comunicado que "todas as linhas, incluindo as laterais, que têm sido operadas de forma manual, vão regressar às operações normais". Apesar disso, vão ser precisos alguns dias para os fornecimentos regressarem ao normal, acrescentou.

Grupo DarkSide ganha milhões em extorsões

Os hackers em causa, que se julga estarem localizadas no leste Europeu ou na Rússia, de acordo com o FBI, farão parte de um grupo chamado DarkSide que se tem especializado em ransomware (ou extorsão online). Este tipo de ataques é feito tendo por base o chamado malware, um software infiltrado na rede de uma empresa que bloqueia os arquivos ou o acesso à rede numa determinada organização. Os hackers admitem depois devolver o acesso mediante um pagamento.

As atividades deste tipo de grupos de ransomware têm aumentado com a expansão de cada vez mais pessoas e empresas online e também é frequente o roubo de dados das vítimas, a que se segue uma ameaça de divulgação de informação sensível caso não haja um pagamento - é a chamada dupla extorsão. Aconteceu algo semelhante recentemente com a fornecedora de componentes para os computadores da Apple, a Quanta Computer Inc, de Taiwan. Nesse caso os hackers pediram 50 milhões de dólares para não divulgar os planos pormenorizados para os seus MacBook da Apple.

Regra: não pagar, ou não anunciar que se pagou

Certo é que é política do FBI procurar desencorajar as organizações a pagar o resgate aos hackers, até por não haver garantias que vão cumprir o que dizem e incentivar outros a continuar a fazer o mesmo. E mesmo quando as empresas pagam, procuram não divulgar esse pagamento pelo mesmo motivo, além do mais vários vêm os custos desse pagamento serem cobertos por apólices de seguro mais robustas.

Já esta semana Anne Neuberger, líder da área de segurança cibernética da Casa Branca, recusou-se a dizer se as empresas devem ou não pagar resgates cibernéticos, admitindo o seguinte: "reconhecemos, porém, que as empresas muitas vezes ficam numa posição difícil se os seus dados são encriptados e não têm backups nem podem recuperar os dados".

5 milhões foi pechincha?

Ondrej Krehel, diretor executivo e fundador da empresa forense digital LIFARS, diz à Bloomber que "eles tiveram mesmo que pagar", admitindo que esta situação trata-se "de um cancro cibernético, pode-se morrer ou viver e esta não é uma situação em que uma organização pode esperar."

O especialista admite ainda que o resgate de 5 milhões de dólares para esta questão do oleoduto é "um valor muito baixo", sendo que o normal seria rondar "os 25 milhões a 35 milhões de dólares para este tipo de empresa", admitindo que o grupo de hackers terá percebido depois que "fez um ataque a uma empresa sensível que acabou por desencadear uma resposta massiva do governo".

Um relatório divulgado em abril nos EUA pela tracker de criptomoedas Chainalysis indica que o valor pago por vítimas de ransomware aumentou 311% em 2020, atingindo um total de 350 milhões de dólares (290 milhões de euros) em criptomoedas - algo que veio tornar mais fácil o pagamento para estes atacantes, como explicava o mês passado o especialista Alex Stamos. O resgate médio pago pelas organizações em 2020 foi de 312 mil dólares.

O ataque também vem mostrar a fragilidade das infraestruturas de energia dos Estados Unidos, pouco modernizadas e com risco elevado de novos ataques, como analisa o The Economist.

Entretanto, o presidente dos EUA, Joe Biden, afirmou esta tarde que o ciberataque que paralisou durante vários dias a maior rede de oleodutos do país terá sido proveniente da Rússia, mas excluiu qualquer envolvimento do Governo de Moscovo.

Mais Notícias

Outros Conteúdos GMG