2021-05-colonial-pipeline

# Colonial Pipeline - Ransomware em Infraestrutura Crítica (Maio 2021) > [!danger] Maior Ataque a Infraestrutura de Energia dos EUA > Em 7 de maio de 2021, a **Colonial Pipeline** - responsável por 45% do combustível do leste dos EUA - desligou preventivamente todo o pipeline após infecção por ransomware do grupo [[darkside-ransomware]]. Durante 6 dias, postos de gasolina ao longo da Costa Leste ficaram sem combustível, o presidente Biden declarou estado de emergência e o Departamento de Transporte flexibilizou regulamentos de horas de motoristas de caminhão. O resgaté pago foi de US$ 4,4 milhões - parcialmente recuperado posteriormente pelo FBI. --- ## Attack Flow ```mermaid graph TB A["🔑 Credencial VPN Comprometida Password reutilizada - darknet Sem MFA habilitado"] --> B["🌐 Acesso VPN Legítimo Nenhum alerta gerado Conta de funcionário inativo"] B --> C["🔍 Reconhecimento Interno Enumeração de rede Identificação de sistemas críticos"] C --> D["💾 Exfiltração de 100 GB Dados antes da criptografia Double extortion prep"] D --> E["🔐 DarkSide Ransomware Criptografia massiva Sistemas IT - não OT"] E --> F["⚡ Desligamento Preventivo OT Colonial Pipeline desliga 8.850 km de gasoduto"] F --> G["⛽ Escassez de Combustível 6 dias - Costa Leste EUA Declaração de emergência federal"] E --> H["💸 Resgaté: US$ 4,4M BTC Pago em 8h após infecção FBI recupera 63,7 BTC"] ``` --- ## Vetor de Entrada: VPN sem MFA A investigação revelou um vetor de entrada surpreendentemente simples: uma **credencial VPN comprometida**, encontrada em um dump de dados vazados na dark web, pertencente a uma conta de funcionário que não estava mais em uso ativo. A conta não tinha autenticação multifator habilitada - violando a política de segurança da empresa. O acesso inicial não disparou nenhum alerta porque a conexão VPN parecia legítima. O grupo DarkSide operou na rede da Colonial Pipeline por aproximadamente **uma semana** antes de iniciar o ransomware, durante a qual exfiltrou aproximadamente 100 GB de dados para fins de dupla extorsão - a ameaça de públicar dados sensíveis mesmo que o resgaté fosse pago. --- ## DarkSide: RaaS e Código de Conduta O [[darkside-ransomware]] operava como **Ransomware-as-a-Service (RaaS)**: o grupo central desenvolvia e mantinha o malware e infraestrutura, enquanto afiliados executavam os ataques e dividiam os lucros (20-25% para o grupo, 75-80% para o afiliado). O grupo publicava um "código de conduta" público afirmando que não atacaria hospitais, escolas ou infraestrutura crítica - evidentemente violado no caso Colonial. Após o ataque e a pressão internacional, o DarkSide anunciou encerramento das operações em 14 de maio de 2021, afirmando ter perdido acesso a servidores e criptomoedas. Analistas de segurança identificaram o grupo posteriormente ressurgindo como [[s0570-blackmatter-ransomware]] e eventualmente como [[alphv-blackcat]]. --- ## Impacto Operacional e Resposta Federal O impacto foi severo e imediato: - **6 dias de shutdown** do maior sistema de pipeline de combustível dos EUA - Escassez em **17 estados** - Georgia, North Carolina, Virginia, Florida afetados criticamente - Preço médio da gasolina ultrapassou **US$ 3/galão** pela primeira vez desde 2014 - Pânico de abastecimento causou filas e acúmulo indevido em postos - O FBI identificou 63,7 BTC (US$ 2,3M) do resgaté e os recuperou via acesso à chave privada da carteira O ataque desencadeou a **Executive Order 14028** do presidente Biden em 12 de maio - que estabeleceu requisitos de segurança de software, padrões de resposta a incidentes e mandatos de zero-trust para o governo federal. A Transportation Security Administration (TSA) emitiu diretivas obrigatórias de cibersegurança para operadores de pipeline pela primeira vez na história. --- ## Impacto para LATAM e Brasil O Colonial Pipeline demonstrou que infraestrutura de energia é alvo primário de ransomware - lição com implicações diretas para o Brasil. A Petrobras, distribuidoras como BR Distribuidora e operadores de gasodutos nacionais revisaram urgentemente seus programas de segurança. O [[cert-br]] e a ANP (Agência Nacional do Petróleo) emitiram orientações baseadas nas lições do incidente. O caso alimentou discussões sobre o marco regulatório de segurança cibernética para infraestrutura crítica no Brasil, eventualmente refletidas na Política Nacional de Segurança de Infraestruturas Críticas (Decreto 9.573/2018, revisado após 2021). --- ## Cronologia do Incidente | Data | Evento | |------|--------| | Abril 2021 | Credencial VPN obtida em dump da dark web | | 29 abr–6 mai | Reconhecimento e exfiltração de dados | | 7 mai 2021 | Ransomware executado - Colonial desliga pipeline preventivamente | | 8 mai 2021 | US$ 4,4M em BTC pagos ao DarkSide | | 9 mai 2021 | Biden declara estado de emergência | | 12 mai 2021 | Pipeline retoma operações parciais | | 14 mai 2021 | DarkSide anuncia encerramento das operações | | 7 jun 2021 | DOJ recupera 63,7 BTC via acesso à carteira | | 12 mai 2021 | Executive Order 14028 - Biden assina | --- ## Referências CTI | Elemento | Ligação | |----------|---------| | Threat Actor | [[darkside-ransomware]] - RaaS group | | Sucessor | [[s0570-blackmatter-ransomware]], [[alphv-blackcat]] | | Técnica MITRE | [[T1078]] Valid Accounts | | Técnica MITRE | [[T1486]] Data Encrypted for Impact | | Técnica MITRE | [[T1048]] Exfiltration Over Alternative Protocol | | Resposta federal | Executive Order 14028 | | Evento antecessor | [[2020-12-solarwinds-supply-chain]] | | Evento sucessor | [[2021-12-log4shell]] | --- > [!info] Navegação - Eventos Relacionados > [[2020-12-solarwinds]] | [[2021-12-log4shell]] | [[darkside-ransomware]] | [[2021-12-log4shell-disclosure]] | [[_timeline]]