Hackers usaram senha comprometida para acessar a rede Colonial Pipeline
A senha foi vinculada a uma conta de rede privada virtual desativada usada para acesso remoto, confirmou a FireEye
Os atacantes de ransomware obtiveram acesso às redes de computadores da Colonial Pipeline em abril usando uma senha comprometida, de acordo com a empresa – levando ao fechamento deliberado de uma das companhias de distribuição de combustível mais importantes da América e a uma busca desesperada pela compra de gás, que se seguiu por dias.
A senha foi vinculada a uma conta de rede privada virtual desativada usada para acesso remoto, confirmou a FireEye à CNN, e a conta não era protegida por uma camada extra de segurança conhecida como autenticação multifator.
A Bloomberg relatou pela primeira vez a vulnerabilidade de senha após entrevistas com Charles Carmakal, vice-presidente sênior da Mandiant – a divisão forense da FireEye – e Joseph Blount, CEO da Colonial.
Não está claro como os invasores obtiveram a credencial comprometida. Mas, a revelação sobre como os hackers podem forçar uma empresa crítica da cadeia de suprimentos a se ajoelhar com algo tão simples ressalta os graves riscos representados não apenas por cibercriminosos oportunistas, mas também pela higiene digital frouxa de algumas das principais empresas dos Estados Unidos.
As autoridades americanas atribuíram o ataque ao oleoduto ao DarkSide , um grupo de hackers que surgiu no verão passado oferecendo ransomware como serviço. Como muitos outros grupos de ransomware, o DarkSide tem como alvo organizações grandes e ricas em dinheiro – mantendo redes comprometidas como reféns até que as vítimas paguem uma taxa. No caso da Colonial, Blount disse que autorizou o pagamento de um resgate de US $ 4,4 milhões.
Na próxima semana, Blount deve testemunhar perante os Comitês de Segurança Interna do Senado e da Câmara, onde deve ser pressionado sobre os detalhes sobre o cronograma do ataque e a resposta dos colonos.
A CNN relatou anteriormente que no dia em que o incidente foi relatado, a “porta do Colonial estava totalmente aberta”, de acordo com uma fonte familiarizada com as defesas cibernéticas da empresa na época.
As senhas são uma vulnerabilidade particular, disse a fonte.
A Colonial Pipeline não respondeu a perguntas específicas sobre seu protocolo de segurança de senha no momento do ataque de ransomware, mas disse que o processo de redefinição de senha e os padrões de complexidade são automatizados.
A senha usada fazia parte de um lote de senhas vazadas encontradas na dark web, de acordo com a entrevista da Bloomberg com Carmakal. Mas não está claro como os hackers conseguiram as credenciais para a conta de acesso remoto.
“Não vemos nenhuma evidência de phishing para o funcionário cujas credenciais foram usadas. Não vimos nenhuma outra evidência de atividade do invasor antes de 29 de abril”, disse Carmakal à Bloomberg.
Mesmo que a conta não esteja mais em uso, os hackers ainda podem usá-la para acessar a rede da empresa, disse ele.
Pouco antes das 5h da manhã de 7 de maio, um dia antes do Colonial anunciar que havia sido violado, um funcionário da sala de controle viu uma nota exigindo criptomoeda em um computador, confirmou um porta-voz do Colonial.
Um supervisor de operações iniciou o processo de desligamento do gasoduto e às 6h10, o desligamento foi concluído.
Mas a precaução desencadeou uma onda de frustração, pois os consumidores foram forçados a esperar em longas filas pelo combustível e competir com os compradores em pânico que enchiam jarras e até sacos plásticos com gasolina, apesar dos apelos do Departamento de Energia para que os americanos não acumulassem suprimentos.
As autoridades norte-americanas disseram posteriormente que, embora o ataque tenha comprometido os sistemas de TI da Colonial, não havia evidências de que seus sistemas operacionais tivessem sido afetados.
Um dia depois, em 8 de maio, o Colonial pagou o resgate , disse um porta-voz à CNN.
(Esta matéria foi traduzida. Clique aqui para ler a versão original)
