Атаковавшие Colonial Pipeline хакеры использовали взломанный пароль

Инцидент был связан с неиспользующимся, но все еще активным входом в VPN, пишет Bloomberg.

По словам исполнительного директора Mandiant Чарльза Кармакала, анализ хакерской атаки показал, что подозрительная активность в сети Colonial Pipeline началась 29 апреля. Точного подтверждения способа, которым злоумышленники получили логин, пока нет, как и детальной информации о методах фишинга.

Однако аналитики обнаружили, что пароль сотрудника присутствовал в списке учетных данных, который хранился в даркнете. Учетная запись VPN, которая была деактивирована, не использовала многофакторную аутентификацию — основной инструмент кибербезопасности. Если пароль учетной записи использовался повторно, злоумышленники могли сопоставить его с именем пользователя. Неизвестно, как именно хакеры получили верное имя пользователя и смогли ли они определить эту информацию самостоятельно. Это могло быть способом входа. 

В мае Colonial Pipeline заявила о кибератаке на свои системы. Хакеры использовали вирус-вымогатель для заражения устройств компании и потребовали выкуп за возвращение доступа.

Взлом на несколько дней приостановил работу системы Colonial Pipeline в США. По информации Bloomberg, вскоре после взлома Colonial заплатила хакерам, которые были аффилированы со связанной с Россией киберпреступной группой, известной как DarkSide, выкуп в размере 4,4 миллиона долларов. Хакеры также украли почти 100 гигабайт данных Colonial Pipeline и пригрозили выложить их в открытый доступ, если выкуп не будет уплачен, писало агентство.

Фото: Sharkshock / Shutterstock