Attaque de ransomware Colonial Pipeline liée à une seule connexion VPN

derniers mois Incident de ransomware d’oléoduc Ce qui a conduit à des pénuries de carburant/stockage et payé 4,4 $ aux attaquants, apparemment revenu à une connexion VPN inutilisée mais toujours active. Charles Carmakal, Mandataire Exécutif Bloomberg Leur analyse de l’attaque a révélé qu’une activité suspecte sur le réseau Colonial Pipeline avait commencé le 29 avril.

Bien qu’ils n’aient pas pu confirmer exactement comment les attaquants ont obtenu les informations de connexion, il ne semble y avoir aucune preuve de techniques de phishing, complexes ou autres. Ce qu’ils ont découvert, c’est que le mot de passe de l’employé se trouvait dans un dump de connexion qui était partagé sur le dark web, donc s’il était réutilisé et que les attaquants le faisaient correspondre à un nom d’utilisateur, cela pourrait être la solution pour savoir comment ils sont entrés.

Puis, un peu plus d’une semaine plus tard, un message de rançon est apparu sur les écrans d’ordinateur de Capital Pipeline et les employés ont commencé à arrêter les opérations. Bien qu’il ne s’agisse que d’un événement dans une chaîne sans fin d’incidents similaires, l’impact de la fermeture a été suffisamment important pour que le PDG de Capital Pipeline s’apprête à Il témoignera devant les commissions du Congrès la semaine prochaineLe ministère de la Justice s’est concentré sur les réponses aux ransomwares de la même manière qu’il traite les affaires de terrorisme.