colonial-pipeline-attack-2021

# Colonial Pipeline - Ataque Ransomware 2021 > [!info] Visão Geral > O ataque a **Colonial Pipeline** em 7 de maio de 2021 foi o maior ataque de ransomware a infraestrutura critica de [[energy|energia]] nos EUA. O grupo [[darkside-ransomware-group]] comprometeu a rede corporativa e exfiltrou mais de **100 GB de dados**, forcando o fechamento preventivo do maior duto de combustivel da costa leste americana por 6 dias. A interrupcao afetou o abastecimento de gasolina, diesel e jet fuel para 14 estados, causando pnico de compra e declaracao de estado de emergência pelo governo Biden. O resgaté pago foi de **USD 4,4 milhões em Bitcoin** (75 BTC), dos quais o FBI recuperou USD 2,3 milhões posteriormente. O acesso inicial foi obtido via **credenciais VPN vazadas** de um funcionario, sem autenticação multifator habilitada. ## Visão Geral O ataque ao Colonial Pipeline em maio de 2021 representa o caso mais impactante de ransomware contra infraestrutura crítica dos Estados Unidos até aquela data. O grupo [[darkside-ransomware-group]], operando no modelo de Ransomware-as-a-Service, obteve acesso à rede corporativa da Colonial Pipeline utilizando credenciais de VPN vazadas de um funcionário — credenciais estas encontradas em um dump de dados disponível na dark web. O acesso era para uma conta VPN legada sem autenticação multifator ativada, um vetor de entrada trivial para o que se tornaria um dos incidentes mais comentados da história da segurança cibernética. Embora o [[darkside]] tenha criptografado apenas a rede de TI corporativa e não os sistemas OT de controle do duto, a Colonial decidiu desligar preventivamente o pipeline de 8.851 km por precaução — temendo que os atacantes pudessem ter acesso ou conhecimento dos sistemas operacionais. Essa decisão preventiva paralisou o fornecimento de gasolina, diesel e querosene de aviação para 14 estados da costa leste americana por seis dias, causando filas em postos de combustível, aumento de preços e declaração de estado de emergência pelo governo Biden. A interrupção demonstrou como um ataque ao segmento de TI pode ter impactos diretos e imensos na infraestrutura física. O desfecho foi histórico em múltiplos aspectos: a Colonial pagou US$ 4,4 milhões em Bitcoin para obter a chave de decriptografia, mas o FBI surpreendeu o mercado ao recuperar US$ 2,3 milhões do pagamento, acessando a carteira de criptomoeda dos atacantes. O [[darkside-ransomware-group]] encerrou operações dias após o ataque, possívelmente por pressão do governo russo que buscava evitar escalada diplomática. Para o [[energy|setor de energia]] brasileiro — onde a Petrobras e distribuidoras de combustível operam infraestruturas críticas —, o Colonial Pipeline serve como estudo de caso primário para planejamento de resiliência operacional e separação de redes IT/OT. ## Attack Flow ```mermaid graph TB A["Acesso Inicial Credenciais VPN vazadas sem MFA ativado"] --> B["Reconhecimento Mapeamento da rede IT corporativa"] B --> C["Exfiltração 100+ GB de dados Double extortion"] C --> D["Ransomware DarkSide implantado Criptografia massiva"] D --> E["Impacto Operacional Shutdown preventivo duto de 5.500 milhas"] E --> F["Extorsao Pagamento USD 4.4M 75 BTC em Bitcoin"] F --> G["Recuperacao Retomada em 12 mai FBI recupera USD 2.3M"] ``` > **Atores:** [[darkside-ransomware-group]] | **Malware:** [[darkside]] | **Setor:** [[energy|energia]] ## Cronologia ```mermaid timeline title Colonial Pipeline - Linha do Tempo 2021 2021-05-06 : Credenciais VPN vazadas usadas para acesso inicial 2021-05-07 : DarkSide detectado - Colonial desliga pipeline preventivamente 2021-05-08 : Biden declara estado de emergencia em 17 estados 2021-05-09 : Colonial paga USD 4.4M em Bitcoin - 75 BTC 2021-05-12 : Pipeline retoma operacoes - fornecimento normalizado 2021-05-14 : DarkSide encerra operacoes após pressao do governo russo 2021-06-07 : FBI recupera USD 2.3M das chaves privadas do Bitcoin ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Acesso via credenciais VPN vazadas de funcionario | | Remote Services | [[t1021-remote-services\|T1021]] | Acesso via VPN legacy sem MFA | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | 100+ GB exfiltrados antes da criptografia | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware DarkSide em sistemas corporativos | | Account Access Removal | [[t1531-account-access-removal\|T1531]] | Bloqueio de contas após comprometimento | | Financial Theft | [[t1657-financial-theft\|T1657]] | Extorsao dupla - dados + criptografia | ## Vitimas e Impacto **Colonial Pipeline Company:** - Duto de 5.500 milhas - conecta refinarias Texas ao nordeste dos EUA - 45% do combustivel da costa leste americana - 6 dias de shutdown total ou parcial - Custo total estimado: USD 4,4 milhões em resgaté mais custos de recuperacao **Impacto societal nos EUA:** - Escassez de gasolina em 14 estados (Alabama, Georgia, Tennessee, Virginia, Carolinas, Maryland, Washington D.C.) - Preco da gasolina subiu acima de USD 3 por galao pela primeira vez desde 2014 - Aeroportos Charlotte e Atlanta sofreram reducao de jet fuel - Compras de panico com filas de horas em postos de gasolina **Consequências regulatorias:** - Biden assina decreto sobre cibersegurança em infraestrutura critica (maio 2021) - TSA emite novas diretrizes de segurança para oleodutos - DHS e CISA recebem mandato expandido para infraestrutura critica ## Relevância LATAM e Brasil O ataque Colonial Pipeline gerou impacto indireto mas relevante para o Brasil e LATAM: - **Alerta para Petrobras e ANP**: O [[government|governo brasileiro]] e a Agencia Nacional do Petroleo aceleraram avaliacao de postura de segurança cibernetica em infraestrutura de [[energy|energia]] critica - **Modelo para grupos regionais**: Grupos de ransomware e afiliados na LATAM adotaram o modelo RaaS do [[darkside-ransomware-group]] para atacar empresas de energia e utilidades no Brasil, Chile e Colombia - **Regulação da ANEEL**: A agencia brasileira de energia eletrica intensificou requisitos de cibersegurança para concessionarias após o incidente - **Influencia em frameworks**: Discussoes sobre notificação obrigatoria de incidentes em infraestrutura critica foram aceleradas, convergindo com a [[lgpd|LGPD]] e normas do [[bacen|Banco Central]] ## Mitigação **Controles imediatos - lições do caso:** - Habilitar MFA em TODOS os acessos remotos - a falha central do caso Colonial - Segmentar redes IT e OT - impedir que ransomware corporativo afete sistemas operacionais - Monitorar credenciais em dark web e bases de vazamentos conhecidas **Controles estruturais:** - Aplicar [[m1032-multi-factor-authentication|M1032]] - MFA obrigatorio para VPN e acesso remoto - Implementar [[m1030-network-segmentation|M1030]] - segmentacao IT/OT para conter blast radius - Implantar [[m1053-software-and-data-integrity|M1053]] - backup imutavel offline para dados criticos - Monitorar via [[ds-0028-logon-session|DS-0028]] - detecção de logins VPN suspeitos e fora do horario ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-131a) CISA - DarkSide Ransomware Advisory AA21-131A (2021) - [2](https://www.justice.gov/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside) DOJ EUA - DOJ Seizes USD 2.3M from DarkSide (2021) - [3](https://www.mandiant.com/resources/blog/shining-a-light-on-darkside-ransomware-operations) Mandiant - Shining a Light on DarkSide Ransomware Operations (2021) - [4](https://unit42.paloaltonetworks.com/darkside-ransomware/) Unit 42 - DarkSide Ransomware Technical Analysis (2021) - [5](https://www.bleepingcomputer.com/news/security/us-recovers-most-of-colonial-pipeline-s-darkside-ransom/) BleepingComputer - US Recovers Colonial Pipeline Ransom (2021) - [6](https://www.sentinelone.com/labs/darkside-ransomware-the-commercial-model-meets-professionalism/) SentinelOne - DarkSide Commercial Model Analysis (2021) - [7](https://www.wired.com/story/colonial-pipeline-ransomware-darkside/) WIRED - Colonial Pipeline Ransomware Attack (2021)