De criminelen die recentelijk Colonial Pipeline Company in de VS hebben gehackt, konden dit doen via een gelekt VPN-wachtwoord. Securitybedrijf Mandiant dat onderzoek deed naar de ransomware-aanval, heeft dit tegenover Bloomberg gezegd.
Hetzelfde wachtwoord?
Het gecompromitteerde VPN-account werd niet meer gebruikt, maar er kon nog steeds toegang tot het netwerk van Colonial mee worden verkregen. Het is niet uitgesloten dat een Colonial-medewerker hetzelfde wachtwoord voor een ander account heeft gebruikt. Dat zegt Charles Carmakal, senior vice-president van securitybedrijf Mandiant. Hoe de hackers het wachtwoord wisten te bemachtigen, is niet bekend.
Geen multifactorauthenticatie
Er zijn geen aanwijzingen dat de inloggegevens via een phishingaanval op de Colonial-medewerker zijn buitgemaakt. Er is ook geen bewijs gevonden dat de aanvallers voor 29 april op het netwerk actief waren. Het gehackte VPN-account maakte geen gebruik van multifactorauthenticatie.
4,4 miljoen dollar losgeld
Carmakal zegt dat er geen aanwijzingen zijn gevonden dat de aanvallers toegang konden krijgen tot de operationele technologiesystemen van de brandstofpijplijn. De criminelen slaagden er echter wel in om honderd gigabyte aan data te stelen. Het bedrijf heeft 4,4 miljoen dollar aan losgeld betaald.