Caso Colonial Pipeline: tudo começou com uma senha comprometida
- Atualizado em
- Por Naty Santos
- Acesso seguro, Malwares
De acordo com os investigadores, hackers obtiveram acesso à rede interna da Colonial Pipeline através do vazamento de uma conta com acesso à uma rede virtual privada (VPN). Relembre como aconteceu o caso aqui.
O que você vai ver neste post
Como descobriram
A descoberta foi feita por uma empresa especializada em ciência forense, contratada pela Colonial para investigar o incidente.
Os peritos concluíram que a senha é a mesma que algum funcionário ou prestador de serviço utilizou para acessar vários serviços não relacionados à Colonial. Inclusive ela foi descoberta em um conjunto de credenciais expostas na Dark Web. Entretanto, os investigadores estão certos sobre o método utilizado pelos hackers para consegui-la.
Sobre as credenciais roubadas
- Não foi encontrado sinais de phishing nas comunicações enviadas para o funcionário cujas credenciais foram utilizadas; ou seja, ele não sofreu um golpe de Engenharia Social.
- A conta da VPN não utilizava autenticação multifator, que exige um segundo componente para confirmar a identidade do usuário; isso facilitou a entrada dos cibercriminosos na rede interna.
- É possível que o funcionário da tenha usado a mesma senha para a VPN e em outros serviços não relacionados à Colonial; ou seja, combinação de login e senha pode ter sido repetida em diversas outras contas, que poderiam ter sido hackeadas anteriormente.
- Talvez a conta de VPN não estivesse em uso por nenhum membro atual da empresa no momento do ataque, mas o fato de não ter sido desativada, possibilitou acessar à rede interna. Por esta razão é necessário rever os acessos e excluir os não utilizados para manter a segurança dos dados após a saída de colaboradores.
Efeitos do ataque na Colonial Pipeline
- Todas as operações do oleoduto foram interrompidas pela ameaça.
- Alguns sistemas de informação foram afetados.
- O sistema Colonial Pipeline ficou paralisado por vários dias.
- A empresa pagou grupo DarkSide um resgate de cerca de US$ 4,4 milhões para recuperar o acesso aos seus dados.
- Além do pagamento, os cibercriminosos roubaram quase 100 GB de informação da empresa, ameaçando expô-la caso o resgate não fosse pago.
- A empresa teve prejuízo financeiro pelo tempo que ficou sem fornecer os serviços, pelo tempo que irá levar para o negócio se recuperar e pelo valor do resgate dos dados pago aos cibercriminosos.
US$ 2,3 milhões da Colonial Pipeline são recuperados pelo FBI
Nesta semana, o Departamento de Justiça dos EUA anunciou ter apreendido 63,7 bitcoins, equivalente a aproximadamente US$ 2,3 milhões. O valor supostamente corresponde aos rendimentos de um pagamento de resgate feito em 8 de maio aos hackers do grupo DarkSide, que operaram o ataque de ransomware contra a Colonial Pipeline. No total, a Colonial pagou US$ 4,4 milhões de resgate.
O mandado de apreensão foi autorizado pelo juiz federal Laurel Beeler, titular do Distrito Norte da Califórnia.
Como aconteceu a identificação da transação
“Seguir o dinheiro continua sendo uma das ferramentas mais básicas e poderosas que temos”, disse a procuradora-geral adjunta Lisa O. Monaco.
Ao revisar o servidor público do bitcoin, o FBI conseguiu rastrear várias transferências de valores e identificar que aproximadamente 63,7 bitcoins foram transferidos para um endereço específico, do qual o FBI tinha a “chave privada” e podia acessar ativos no endereço.
Como os valores representam receitas rastreáveis de uma invasão de computador e estão envolvidos em lavagem de dinheiro, puderam ser apreendidos de acordo com estatutos civis e criminais de confisco dos EUA.
Entidades que cooperaram para o resultado
Para ajudar na resolução do caso, os EUA criaram a Força-Tarefa de Ransomware e Extorsão Digital, uma iniciativa para rastrear e desmantelar ‘’esquemas” de implantação de malware, identificar os cibercriminosos responsáveis e responsabilizá-los por seus crimes.
Agências governamentais nacionais e estrangeiras, bem como empresas do setor privado se uniram para combater a ataques cibernéticos.
O fechamento do caso
Os pagamentos de resgate são o combustível que impulsiona o mecanismo de extorsão digital. O governo norte-americano está empenhado em interromper ataques de ransomware e proteger suas Companhias; para isso usará todas as ferramentas disponíveis, alavancando parcerias nacionais e internacionais para tornar esses ataques mais caros e menos lucrativos para os criminosos.
Na análise de especialistas, os cibercriminosos estão empregando esquemas cada vez mais elaborados. É necessário melhorar a resiliência cibernética, sobretudo da infraestrutura crítica, e investir em métodos avançados para rastrear e recuperar pagamentos de resgate digital.
Sobre a VaultOne
Uma grande parte do problema da Colonial Pipeline poderia ter sido evitado se a empresa tivesse uma Política de Senhas e uma solução de Gerenciamento de Acesso Privilegiado (PAM) que automatizasse os processos de TI e auxiliasse na administração dos recursos tecnológicos.
O VaultOne é uma solução privilegiada de gerenciamento de contas, que resolve problemas de segurança centralizando as senhas em um cofre digital, permitindo que os usuários acessem recursos (servidores, computadores, contas sociais) sem a necessidade de uma senha.
Em vez de confiar todos os recursos à uma senha, um administrador pode criar uma conexão segura entre o usuário e o recurso usando o VaultOne para conferir o acesso.
Conheça o que a VaultOne pode fazer por sua empresa. Fale hoje mesmo com nossos especialistas.
