Em maio um ataque de ransomware à Colonial Pipeline levou à paralisação de um dos maiores oleodutos nos Estados Unidos. Agora uma nova investigação da Mandiant, parte da empresa de cibersegurança FireEye, revela que a porta de entrada para os cibercriminosos terá sido uma password comprometida.

De acordo com os investigadores, os hackers ganharam acesso à rede interna da Colonial Pipeline através de uma conta numa rede virtual privada (VPN) a 29 de abril. Embora a não estivesse a ser utilizada ativamente por um membro da empresa, a conta ainda poderia ser usada para aceder à rede interna.

A password da conta foi descoberta num conjunto de credenciais expostas na Dark Web, o que significa que um funcionário da Colonial Pipeline poderá ter usado a mesma palavra-passe numa outra conta anteriormente comprometida, explica Charles Carmakal, vice-presidente senior da Mandiant à Bloomberg. Porém, os investigadores não têm a certeza de como é que os hackers conseguiram obter a password em questão.

“Realizamos uma análise exaustiva para tentar determinar como é que eles conseguiram aceder às credenciais”, indica o responsável, acrescentando que a empresa de cibersegurança não encontrou quaisquer sinais de phishing no caso do funcionário cujas credenciais foram usadas, ou evidências de atividade por parte dos atacantes que seja anterior a 29 de abril.

A conta da VPN também não utilizava autenticação multifactor, permintindo aos cibercriminosos entrarem facilmente na rede interna usando apenas as credenciais comprometidas. A Colonial Pipeline acabou por pagar o resgate de 4,4 milhões de dólares exigido pelo grupo DarkSide. Além disso os cibercriminosos terão também roubado quase 100 GB de informação da empresa, ameaçando expô-la caso o resgate não fosse pago.

Recorde-se que, recentemente, o panorama da cibersegurança tem vindo a ser marcado por uma série de ataques de ransomware, incluindo casos que envolvem empresas como a seguradora CNA Financial, Quanta Computers, Acer, ou JBS, uma das maiores empresas mundiais de processamento de carnes, assim como o sistema de saúde público da Irlanda.

Suspeita de ataque de ransomware leva Fujifilm a encerrar parcialmente a sua rede interna
Suspeita de ataque de ransomware leva Fujifilm a encerrar parcialmente a sua rede interna
Ver artigo

Ainda no início de junho a Fujifilm viu-se obrigada a encerrar parte da sua rede interna como forma de mitigar as consequências de um ataque informático, que se julga ser ransomware.