0
0
Os CEOs das duas empresas violadas disseram que suas prioridades mudaram instantaneamente para se juntar aos esforços de resposta quando souberam pela primeira vez sobre ataques a seus sistemas.
Washington, D.C. – Joe Blount, presidente e CEO da Colonial Pipeline, diz que assim que soube que sua empresa havia sido atingida por um grande ataque cibernético, seu trabalho diurno ficou em segundo plano na subsequente resposta a incidentes práticos.
“Seu típico trabalho de CEO saiu pela porta há apenas algumas horas, e não vai voltar há algum tempo”, disse ele, descrevendo como era quando foi informado pela primeira vez sobre o ataque de ransomware, o que levou a empresa a encerrar temporariamente seu pipeline físico, bem como sistemas de TO e TI como precaução e, finalmente, pagar o resgate de US$ 4,4 milhões. Grande parte desse resgate foi recuperado mais tarde pelo FBI – cerca de US$ 2,3 milhões do que a empresa pagou à gangue de ransomware DarkSide.
Blount, como a maioria de sua equipe executiva e funcionários, recebeu um papel específico na resposta da empresa: Ele foi o “conduíte” para se comunicar com o Departamento de Energia dos EUA (DoE) sobre os detalhes, resposta e recuperação do ataque.
“No nosso caso, após o ataque, a responsabilidade do CEO imediatamente se torna conter o ataque e remediar a situação. Isso se torna o foco”, disse ele.
Blount, juntamente com o presidente e CEO da Accellion, Jonathon Yaron, compartilharam a visão do CEO sobre uma resposta a um grande incidente a um ataque cibernético aqui durante um painel principal com o vice-presidente sênior e CTO da Mandiant, Charles Carmakal.
“Depois de um incidente como este, não há tempo suficiente no dia ou pessoas suficientes. Então você se envolve ativamente”, disse ele. Para Blount, isso significava realizar briefings diários de atualização com o governo federal via DoE sobre o que estava acontecendo e o que a Colonial Pipeline e sua equipe de resposta a incidentes, incluindo Mandiant, haviam encontrado.
“Quando criamos esse canal com o governo – o que nos permitiu comunicar até a Casa Branca, com todos os reguladores responsáveis [pela indústria], até os grupos lobistas que foram úteis na disseminação de informações para empresas semelhantes”, disse ele, permitiu que eles alertassem indiretamente outras organizações sobre a ameaça.
Yaron, da Accellion, ex-membro da renomada equipe de inteligência da Unidade Israelense 8200, lembrou a segunda rodada de ataques explorando dias zero na plataforma legada File Transfer Appliance da empresa quase um mês após o primeiro ataque à plataforma.
“Aqui está, dois ex-8200 caras”, disse ele, referindo-se a si mesmo e ao chefe de tecnologia de sua empresa. “Obviamente, entendemos que alguém nos enganou no segundo [ataque] de 0 dias no final de janeiro”, disse ele, e os atacantes “sabem algo que não sabemos”.
O ataque foi detectado pela primeira vez quando um detector de anomalias no Accellion FTA – uma tecnologia de 20 anos que ainda era usada por algumas empresas para transferir arquivos grandes – disparou um alarme contra uma instituição acadêmica no nordeste dos EUA, que então entrou em contato com a Accellion. Não estava claro para o vendedor se era um ataque governamental ou comercial, e se era um único evento ou um evento de massa, disse ele. Bancos, agências governamentais dos EUA e uma grande organização de saúde estavam entre os clientes que ainda administravam o produto mais antigo.
“A primeira ordem foi entender a magnitude”, disse Yaron. Havia cerca de 300 possíveis organizações de vítimas, mas no final, Accellion descobriu que cerca de 90 foram atingidas, 35 das quais sofreram “impacto significativo”.
A violação na Accellion resultou em dados roubados de clientes e, mais tarde, tentativas de extorsão usadas como alavancagem pelos cibercriminosos. O fornecedor emitiu um patch para o primeiro ataque de dia zero em dezembro, dentro de 72 horas após a descoberta, e também pediu aos clientes que se mudassem para sua atual plataforma de firewall Kiteworks. Mas em 1o de fevereiro, eles revelaram que os atacantes estavam nisso novamente usando um segundo conjunto de vulnerabilidades na plataforma.
Mandiant descobriu que dados de empresas nos EUA, Canadá, Holanda e Cingapura haviam sido descartados em um site Dark com laços com a gangue russa de crimes cibernéticos conhecida como Fin11. Kroger, Jones Day e Singtel estavam entre as vítimas da violação da Accellion.
A Accellion dobrou o pedido aos clientes para desligar os sistemas FTA.
“A grande maioria nos ouviu e desligou os sistemas”, disse Yaron. “É por isso que não mais do que 10% [dos clientes da Accellion] foram fortemente penetrados.”
‘Isso é loucura’
Um cliente da Fortune 100 se recusou a encerrar seu sistema FTA. Eles mantiveram suas operações muito críticas para interromper.
“‘Vamos monitorá-lo, segundo a segundo'”, lembrou Yaron que sua equipe de gerenciamento sênior lhe disse. “Eu disse: ‘Isso é loucura’ … [mas] eles conseguiram manter os perpetradores de fora.”
Blount, da Colonial Pipeline, diz que estava se preparando para o trabalho no início de 7 de maio, quando lhe falaram sobre o ataque à sua empresa.
“Recebi a notícia de que recebemos um ataque de ransomware através de um de nossos sistemas em nossa sala de controle”, lembrou ele. “No momento em que fui notificado, já havíamos feito a tarefa de fechar 5.500 milhas de gasoduto. Os funcionários são treinados para fazê-lo quando percebem um risco; como você pode imaginar, não sabíamos o que tínhamos naquele momento. Sabíamos que tínhamos uma ameaça, sabíamos que essa ameaça tinha que ser contida e, portanto, fechamos o oleoduto para fazer isso.”
O desligamento foi o procedimento de resposta padrão ao identificar um risco e corrigi-lo. Naquela época, no início da investigação, disse Blount, não havia confirmação se os sistemas de TI ou TO estavam em risco ou se o oleoduto estava em risco físico, então eles optaram por desligá-lo como precaução.
“Sabíamos que tínhamos um ataque de ransomware, mas potencialmente tínhamos um ataque físico? Poderia ser potencialmente um estado-nação tentando causar danos aos EUA? Então aumentamos e fechamos o oleoduto em uma hora”, disse ele.
Ao contrário da maioria das vítimas de ransomware que pagam, Colonial Pipeline acabou recebendo a maior parte de seu dinheiro de volta. A recuperação do resgate pelo FBI foi “uma grande vitória para nós como comunidade de segurança”, disse Carmakal, de Mandiant.
A Colonial Pipeline entregou ao FBI sua carteira bitcoin dentro de um dia após o pagamento, o que ajudou a agência a recuperar o dinheiro com sucesso, de acordo com Blount.
“O governo estava altamente focado em nos ajudar a trazer nossos sistemas de volta e ajudar a aliviar um ataque criminoso, francamente, a todo o país”, disse ele.
FONTE: DARK READING