Em maio um ataque de ransomware à Colonial Pipeline levou à paralisação de um dos maiores oleodutos nos Estados Unidos. Agora uma nova investigação da Mandiant, parte da empresa de cibersegurança FireEye, revela que a porta de entrada para os cibercriminosos terá sido uma password comprometida.
De acordo com os investigadores, os hackers ganharam acesso à rede interna da Colonial Pipeline através de uma conta numa rede virtual privada (VPN) a 29 de abril. Embora a não estivesse a ser utilizada ativamente por um membro da empresa, a conta ainda poderia ser usada para aceder à rede interna.
A password da conta foi descoberta num conjunto de credenciais expostas na Dark Web, o que significa que um funcionário da Colonial Pipeline poderá ter usado a mesma palavra-passe numa outra conta anteriormente comprometida, explica Charles Carmakal, vice-presidente senior da Mandiant à Bloomberg. Porém, os investigadores não têm a certeza de como é que os hackers conseguiram obter a password em questão.
“Realizamos uma análise exaustiva para tentar determinar como é que eles conseguiram aceder às credenciais”, indica o responsável, acrescentando que a empresa de cibersegurança não encontrou quaisquer sinais de phishing no caso do funcionário cujas credenciais foram usadas, ou evidências de atividade por parte dos atacantes que seja anterior a 29 de abril.
A conta da VPN também não utilizava autenticação multifactor, permintindo aos cibercriminosos entrarem facilmente na rede interna usando apenas as credenciais comprometidas. A Colonial Pipeline acabou por pagar o resgate de 4,4 milhões de dólares exigido pelo grupo DarkSide. Além disso os cibercriminosos terão também roubado quase 100 GB de informação da empresa, ameaçando expô-la caso o resgate não fosse pago.
Recorde-se que, recentemente, o panorama da cibersegurança tem vindo a ser marcado por uma série de ataques de ransomware, incluindo casos que envolvem empresas como a seguradora CNA Financial, Quanta Computers, Acer, ou JBS, uma das maiores empresas mundiais de processamento de carnes, assim como o sistema de saúde público da Irlanda.
Ainda no início de junho a Fujifilm viu-se obrigada a encerrar parte da sua rede interna como forma de mitigar as consequências de um ataque informático, que se julga ser ransomware.
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários