El oleoducto Colonial de Estados Unidos fue atacado usando una contraseña comprometida

De acuerdo a la información entregada por medios, el ciberataque al oleoducto -más grande de EEUU- se produjo el 29 de abril debido a una contraseña comprometida. Los ciberatacantes ingresaron través de una cuenta VPN que permitía conectarse remotamente con la red corporativa.

La investigación arrojó que la contraseña se encontraba en un lote de cuentas filtradas en la Dark Web. Lo que se traduce en que probablemente un empleado de Colonial utilizó la misma contraseña de su cuenta corporativa en otra cuenta personal.

La cuenta de VPN, que obviamente ya fue desactivada, no tenía configurada la autenticación multifactor, lo que permitió a los piratas informáticos violar la red de Colonial utilizando solo un nombre de usuario y una contraseña comprometida. No se sabe cómo obtuvieron el nombre de usuario correcto o si pudieron determinarlo por sí mismos.

La investigación detalla que no se encontró evidencia de suplantación de identidad o ataque previo al empleado cuya cuenta fue utilizada.

El ataque de ransomware

El 7 de mayo un funcionario de la sala de control vio una nota de rescate demandando un pago en criptomonedas, en ese momento se activaron las alarmas y comenzó el proceso de cierre del oleoducto. Era la primera vez que la compañía realizaba una acción así y tampoco sabían a lo que se enfrentaban.

DarkSide, el grupo detrás del ciberataque, logró moverse por la red y robar 100 GB de información de la compañía. Luego de eso Colonial pagó más de cuatro millones de dólares por el rescate.