Инцидент был связан с неиспользующимся, но все еще активным входом в VPN, пишет Bloomberg.
По словам исполнительного директора Mandiant Чарльза Кармакала, анализ хакерской атаки показал, что подозрительная активность в сети Colonial Pipeline началась 29 апреля. Точного подтверждения способа, которым злоумышленники получили логин, пока нет, как и детальной информации о методах фишинга.
Однако аналитики обнаружили, что пароль сотрудника присутствовал в списке учетных данных, который хранился в даркнете. Учетная запись VPN, которая была деактивирована, не использовала многофакторную аутентификацию — основной инструмент кибербезопасности. Если пароль учетной записи использовался повторно, злоумышленники могли сопоставить его с именем пользователя. Неизвестно, как именно хакеры получили верное имя пользователя и смогли ли они определить эту информацию самостоятельно. Это могло быть способом входа.
В мае Colonial Pipeline заявила о кибератаке на свои системы. Хакеры использовали вирус-вымогатель для заражения устройств компании и потребовали выкуп за возвращение доступа.
Взлом на несколько дней приостановил работу системы Colonial Pipeline в США. По информации Bloomberg, вскоре после взлома Colonial заплатила хакерам, которые были аффилированы со связанной с Россией киберпреступной группой, известной как DarkSide, выкуп в размере 4,4 миллиона долларов. Хакеры также украли почти 100 гигабайт данных Colonial Pipeline и пригрозили выложить их в открытый доступ, если выкуп не будет уплачен, писало агентство.
Фото: Sharkshock / Shutterstock