Trans-Northern Pipelines investiga alegações de ataque de ransomware ALPHV
15 de Fevereiro de 2024

A Trans-Northern Pipelines (TNPI) confirmou que sua rede interna foi violada em novembro de 2023 e que agora está investigando alegações de roubo de dados feitas pela gangue de ransomware ALPHV/BlackCat.

A TNPI opera 850 quilômetros de oleoduto em Ontário-Quebec e 320 quilômetros em Alberta, transportando 221.300 barris (35.200m3) de produtos petrolíferos refinados diariamente.

Ambos os sistemas de oleoduto são subterrâneos e transportam gasolina, diesel, combustível de aviação e combustível para aquecimento de refinarias para terminais de distribuição.

"A Trans-Northern Pipelines Inc.

sofreu um incidente de cibersegurança em novembro de 2023 que afetou um número limitado de sistemas de computador internos", disse Lisa Dornan, Líder da Equipe de Comunicações da TNPI, ao BleepingComputer.

"Trabalhamos com especialistas terceirizados em cibersegurança e o incidente foi rapidamente contido.

Continuamos a operar nossos sistemas de oleoduto com segurança.

"Estamos cientes de postagens na dark web alegando conter informações da empresa e estamos investigando essas alegações."

Embora as alegações da ALPHV não tenham sido mencionadas diretamente por Dornan quando questionada pelo BleepingComputer para confirmação, a gangue de ransomware diz que seus operadores roubaram 183GB de documentos da rede da empresa.

Os arquivos supostamente roubados agora foram publicados no site de vazamento de dados da ALPHV, e o grupo de ransomware também adicionou informações de contato de vários funcionários da TNPI na mesma página de vazamento.

A ALPHV surgiu há mais de dois anos, em novembro de 2021, e acredita-se ser uma rebranding das operações de ransomware DarkSide e BlackMatter.

Inicialmente rastreada como DarkSide, a operação ganhou notoriedade após o seu ataque ao Colonial Pipelines, que provocou extensas investigações por agências de aplicação da lei em todo o mundo e levou à apreensão de sua infraestrutura e ao encerramento da operação.

Meses depois, o grupo de ransomware retornou sob o nome de BlackMatter, que novamente foi desativado em novembro de 2021 e reapareceu como ALPHV/BlackCat em fevereiro de 2022.

O FBI vinculou essa gangue de ransomware a mais de 60 violações contra organizações em todo o mundo durante seus primeiros quatro meses de atividade, entre novembro de 2021 a março de 2022.

A ALPHV acumulou mais de $300 milhões em pagamentos de resgate de mais de 1.000 vítimas em todo o mundo até setembro de 2023, segundo o Federal Bureau of Investigation (FBI).

"Afiliados do ALPHV Blackcat comprometeram mais de 1000 entidades—quase 75 por cento das quais estão nos Estados Unidos e aproximadamente 250 fora dos Estados Unidos—, exigiram mais de $500 milhões, e receberam quase $300 milhões em pagamentos de resgate", disse o FBI em dezembro.

O FBI interrompeu a operação da ALPHV em dezembro após violar os servidores das gangues e temporariamente derrubar seus sites de negociação e vazamento de dados na Tor após meses de monitoramento de suas atividades e criação de uma ferramenta de descriptografia.

A gangue de ransomware desde então "desbloqueou" seu site de vazamento de dados usando as chaves privadas que ainda possuíam e lançou uma nova URL na Tor que o FBI não pode derrubar.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...