Senha comprometida resulta em ataque a oleoduto

Uma única senha comprometida foi o que motivou o recente ataque ao maior oleoduto dos Estados Unidos, o Colonial Pipeline. A senha era de uma conta já inativa de uma rede privada virtual (VPN) que permitia aos funcionários acessar remotamente a rede de computadores da companhia, segundo relato de Charles Carmakal, vice-presidente da empresa de cibersegurança cibernética Mandiant, que investigou o caso.

Em entrevista à Bloomberg, o especialista contou que a suspeita é que a senha da conta tenha sido descoberta dentro de um lote vazado na Dark Web. Isso significa que um funcionário pode ter usado a mesma senha em outra conta previamente hackeada, segundo Carmakal.

A conta da VPN não usava autenticação multifator, o que permitiu que os hackers invadissem a rede do Colonial Pipeline usando apenas login e senha. Não se sabe como os hackers obtiveram o nome de usuário correto da conta.

A Mandiant também investigou até que ponto o grupo Darkside, ator da invasão, havia levado a investida pelas redes da Colonial Pipeline e não encontrou nenhuma evidência de que os hackers tivessem feito novas tentativas. Também parece que o grupo se limitou às redes de TI e não chegaram a comprometer os sistemas mais críticos de tecnologia operacional (OT).

O Colonial Pipeline foi vítima de um ataque ransomware no início de maio, provocando a paralisação dos sistemas de TI e desligamento temporário das operações. A empresa pagou um resgate de cerca de US$ 4,4 milhões em criptomoedas em troca da chave de descriptografia para recuperar os dados. No entanto, em uma ação inédita, o Departamento de Justiça dos Estados Unidos conseguiu recuperar a maior parte do pagamento do resgate multimilionário.