Ataque de ransomware Colonial Pipeline combinado con un solo inicio de sesión de VPN

El incidente de ransomware del oleoducto del mes pasado que resultó en escasez / acaparamiento de combustible y un pago de $ 4.4 a los atacantes aparentemente se atribuyó a un inicio de sesión de VPN inactivo pero aún activo. El gerente de Mandiant, Charles Carmakal, dijo Bloomberg que su análisis del ataque reveló que la actividad sospechosa en la red del Oleoducto Colonial comenzó el 29 de abril.

Aunque no pudieron confirmar exactamente cómo los atacantes obtuvieron el inicio de sesión, no parece haber evidencia de técnicas de phishing sofisticadas o de otro tipo. Descubrieron que la contraseña del empleado estaba en un volcado de inicio de sesión compartido en la web oscura. Entonces, si se reutilizó y los atacantes lo asociaron con un nombre de usuario, esta podría ser la respuesta a cómo ingresaron.

Luego, poco más de una semana después, apareció un mensaje de rescate en las pantallas de las computadoras de Capital Pipeline y los empleados comenzaron a cerrar. Si bien este es solo uno de una serie interminable de incidentes similares, el impacto del cierre ha sido tal que el CEO de Capital Pipeline debe testificar ante los comités del Congreso la próxima semana, y el Departamento de Justicia ha centralizado de manera similar respuestas de ransomware para lidiar con incidentes de terrorismo. .