As pessoas que invadiram a Colonial Pipeline, maior oleoduto da costa leste dos Estados Unidos, Entraram na rede da empresa por meio de uma VPN. Não se sabe ainda qual foi o login utilizado. Mas a senha foi obtida num vazamento exposto na dark web. A descoberta foi feita pelos peritos da Mandiant, empresa especializada em forensics, contratada pela Colonial para investigar o incidente. Os peritos concluíram que a senha é a mesma que algum funcionário ou prestador de serviço utilizou para acessar vários serviços não relacionados à Colonial. Inclusive o serviço do qual essa senha vazou, sendo depois exposta ou comercializada na dark web.
O vice-presidente sênior da Mandiant, Charles Karmakal, disse à Bloomberg que, em sua opinião, um dos funcionários usava a mesma senha para VPN e outros serviços não relacionados à Colonial. A investigação não encontrou sinais de phishing na rede da empresa.
Karmakal acha que, no momento do ataque, a conta de VPN não estava mais sendo usada pelos funcionários, mas ainda assim tinha o acesso às redes. A senha dessa conta, segundo o vice-presidente, foi encontrada na dark web. É possível que essa combinação de login e senha também fosse adequada para contas de outras empresas, que podem ter sido hackeadas anteriormente, segundo ele.
Veja isso
À venda: 1.548 acessos RDP para IPs do Brasil
Colonial retoma operações após ataque de ransomware
A conta utilizada no ataque não utilizava autenticação multifatorial. A Colonial Pipeline, a maior operadora de dutos de combustível dos Estados Unidos, foi atacada pelo ransomware DarkSide em 7 de maio. O ataque fez com que a empresa fechasse alguns sistemas “para conter uma ameaça que interrompeu temporariamente todas as operações do oleoduto e afetou alguns sistemas de informação”. O hack na verdade paralisou o sistema Colonial Pipeline por vários dias. Como informou a Bloomberg, a empresa pagou aos hackers um resgate de cerca de US$ 4,4 milhões para recuperar o acesso aos seus dados.
A empresa de oleodutos, com sede em Alpharetta, Geórgia, de propriedade da IFM Investors, Koch Industries Inc., KKR & Co. e Royal Dutch Shell, restaurou o serviço na semana passada. A empresa disse na segunda-feira da semana passada que estava transportando combustível em níveis normais , embora tenha alertado que demoraria para que a cadeia de abastecimento se recuperasse. Embora o fluxo de combustível do gasoduto tenha voltado ao normal, o impacto do hack não terminou com o pagamento do resgate. Levará meses a recuperação de alguns sistemas de negócios.
Com agências de notícias internacionais
