Gelekt wachtwoord oorzaak van ransomware-aanval Colonial Pipeline

Briefje met daarop het wachtwoord en een potlood liggen op een toetsenbord

De ransomware-aanval op Colonial Pipeline was mogelijk doordat het wachtwoord van een medewerker opdook op het dark web. Met het wachtwoord kregen de daders toegang tot het bedrijfsnetwerk en de IT-systemen van de aardoliemaatschappij. Het account van de werknemer was weliswaar niet langer actief, maar kon nog steeds gebruikt worden om het netwerk binnen te dringen.

Dat vertelt Charles Carmakal, senior vicepresident bij cybersecuritybedrijf Mandiant, tegenover Bloomberg.

VPN account was niet beschermd met MFA

Het wachtwoord werd ontdekt in een partij gelekte wachtwoorden op het dark web, het afgesloten deel van het internet. Mogelijk heeft de werknemer hetzelfde wachtwoord voor een ander account gebruikt dat eerder is gehackt. Carmakel kan niet met zekerheid zeggen dat de daders op deze manier de hand hebben weten te leggen op de inloggegevens, maar ligt wel voor de hand. De onderzoekers komen daar mogelijk nooit met zekerheid achter.

Wat de beveiligingsexpert wel zeker weet, is dat de VPN account van de medewerker niet langer actief was. Bovendien maakte deze geen gebruik van multifactorauthenticatie (MFA). Naast een gebruikersnaam en wachtwoord heb je tevens een speciale toegangscode nodig om in te kunnen loggen. Deze beveiligingssleutel of token verandert continu en wordt vaak naar een mobiele telefoon of ander authenticatiemiddel doorgestuurd.

Omdat tweestapsverificatie ontbrak, was het voor de hackers eenvoudig om in te breken. Het is echter een raadsel hoe zij erin slaagden om de juiste gebruikersnaam te achterhalen. Carmakal zegt dat het cybersecuritybedrijf waarvoor hij werkt uitgebreid onderzoek heeft gedaan om vast te stellen waar de inloggegevens vandaan komen. “We zagen geen bewijs van phishing voor de werknemer van wie de gegevens zijn gebruikt”, zo vertelt de beveiligingsdeskundige tegenover Bloomberg.

Hackers hadden geen toegang tot kritieke onderdelen IT-systemen

Mandiant heeft het bedrijfsnetwerk van Colonial Pipeline binnenstebuiten gekeerd om te kijken of de hackers toegang hadden tot de kernonderdelen van de IT-systemen. Dat bleek niet het geval. Onderzoekers hebben geconstateerd dat de daders rondsnuffelden op het bedrijfsnetwerk, maar dat ze niet in staat waren om de kritieke onderdelen van het netwerk te beheren.

Om ervoor te zorgen dat de aanvallers niet een nieuwe aanval zouden lanceren tijdens het onderzoek, installeerde het cybersecuritybedrijf digitale detectietools. Daardoor weten we dat de hackers niet nogmaals hebben geprobeerd om een nieuwe aanval te initiëren.

Colonial Pipeline betaalt losgeld aan hackers

Eind april werd Colonial Pipeline aangevallen door hackers. Zij wisten de computersystemen van het bedrijf binnen te dringen en gijzelsoftware te installeren. Werknemers konden niet langer inloggen en de aanvallers maakten naar verluidt 100 GB aan bedrijfsgevoelige data buit. Volgens de FBI zat de Russische hackersgroep DarkSide achter de aanval. De digitale inbraak kwam in de eerste week van mei aan het licht.

Omdat tientallen miljoenen Amerikanen afhankelijk zijn van de aanvoer van aardolie van Colonial Pipeline, besloot CEO Joseph Blount om de hackers 4,4 miljoen dollar aan losgeld te betalen. “Ik besef dat het een controversiële beslissing is. Die heb ik niet lichtvaardig genomen. Ik voelde me niet op mijn gemak toen ik het geld zag wegvloeien naar de daders. Ik deed het in het landsbelang”, zei hij in een interview met The Wall Street Journal.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen