Colonial Pipeline informa sobre brecha de datos después del ciberataque de mayo

La compañía está enviando notificaciones a las personas afectadas por la brecha de datos resultante del ataque de ransomware realizado en mayo por DarkSide.

La compañía dice que «se enteró recientemente» de que los operadores de DarkSide también pudieron extraer documentos que contienen información personal de un total de 5.810 personas.

La información personal de las personas afectadas varía desde nombres y detalles de contacto, hasta información de salud e identificación.

«Los registros afectados contenían cierta información personal, como nombre, información de contacto, fecha de nacimiento, identificación emitida por el gobierno (como Seguro Social, identificación militar, identificación fiscal y números de licencia de conducir) e información relacionada con la salud (incluida la información del seguro)», revela Colonial Pipeline en las cartas de notificación de violación de datos.

Sin embargo, desde la compañía agregan que no se robó toda esta información de cada individuo afectado.

El incidente con DarkSide

Durante el incidente, los operadores de DarkSide robaron aproximadamente 100 GB de archivos de los sistemas Colonial Pipeline violados en aproximadamente dos horas, según fuentes cercanas a la investigación.

La pandilla de ransomware cerró abruptamente su operación después de que el grupo vio un aumento en los niveles de atención tanto de los medios de comunicación como del gobierno y las fuerzas del orden de los EE. UU.

Su decisión de detener las operaciones se produjo después de que Colonial Pipeline pagara $ 4.4 millones en criptomonedas por un descifrador, la mayor parte recuperada luego por el FBI.

Sin embargo, menos de dos meses después, surgió una nueva operación de ransomware conocida como BlackMatter, comprando acceso a la red de otros actores de amenazas para lanzar ataques contra víctimas corporativas, con demandas de rescate que van desde $ 3 a $ 4 millones.

El CTO de Emsisoft y experto en ransomware, Fabian Wosar, confirmó que el algoritmo de cifrado Salsa20 que se encuentra en un descifrador compartido por BleepingComputer antes solo lo usaba DarkSide, y ahora BlackMatter.

«Después de analizar un binario descifrador de BlackMatter filtrado, estoy convencido de que estamos tratando con un cambio de marca de Darkside», dijo Wosar.

La notoria banda de ransomware DarkSide, ahora rebautizada como BlackMatter, está atacando activamente a las entidades corporativas, pero dice que no se dirigirá a la «industria del petróleo y el gas (oleoductos, refinerías de petróleo)», que anteriormente atraía una atención no deseada y las obligaba a cambiar de marca.

Nota completa en BleepingComputer.