Em maio um ataque de ransomware à Colonial Pipeline levou à paralisação de um dos maiores oleodutos nos Estados Unidos. Agora uma nova investigação da Mandiant, parte da empresa de cibersegurança FireEye, revela que a porta de entrada para os cibercriminosos terá sido uma password comprometida.

De acordo com os investigadores, os hackers ganharam acesso à rede interna da Colonial Pipeline através de uma conta numa rede virtual privada (VPN) a 29 de abril. Embora a não estivesse a ser utilizada ativamente por um membro da empresa, a conta ainda poderia ser usada para aceder à rede interna.

A password da conta foi descoberta num conjunto de credenciais expostas na Dark Web, o que significa que um funcionário da Colonial Pipeline poderá ter usado a mesma palavra-passe numa outra conta anteriormente comprometida, explica Charles Carmakal, vice-presidente senior da Mandiant à Bloomberg. Porém, os investigadores não têm a certeza de como é que os hackers conseguiram obter a password em questão.

“Realizamos uma análise exaustiva para tentar determinar como é que eles conseguiram aceder às credenciais”, indica o responsável, acrescentando que a empresa de cibersegurança não encontrou quaisquer sinais de phishing no caso do funcionário cujas credenciais foram usadas, ou evidências de atividade por parte dos atacantes que seja anterior a 29 de abril.

A conta da VPN também não utilizava autenticação multifactor, permintindo aos cibercriminosos entrarem facilmente na rede interna usando apenas as credenciais comprometidas. A Colonial Pipeline acabou por pagar o resgate de 4,4 milhões de dólares exigido pelo grupo DarkSide. Além disso os cibercriminosos terão também roubado quase 100 GB de informação da empresa, ameaçando expô-la caso o resgate não fosse pago.

Recorde-se que, recentemente, o panorama da cibersegurança tem vindo a ser marcado por uma série de ataques de ransomware, incluindo casos que envolvem empresas como a seguradora CNA Financial, Quanta Computers, Acer, ou JBS, uma das maiores empresas mundiais de processamento de carnes, assim como o sistema de saúde público da Irlanda.

Suspeita de ataque de ransomware leva Fujifilm a encerrar parcialmente a sua rede interna
Suspeita de ataque de ransomware leva Fujifilm a encerrar parcialmente a sua rede interna
Ver artigo

Ainda no início de junho a Fujifilm viu-se obrigada a encerrar parte da sua rede interna como forma de mitigar as consequências de um ataque informático, que se julga ser ransomware.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.