Conta VPN esquecida permitiu o ataque de ransomware à Colonial Pipeline

Uma investigação ao mediático caso do ataque de ransomware à Colonial Pipeline revelou que os hackers terão entrado na rede da empresa usando uma conta VPN já não utilizada, cuja password circulava pela net.

O caso da Colonial Pipeline pode muito bem vir a ser um ponto de viragem no combate ao ransomware, que tem sido a praga mais temida pelas empresas nos últimos anos, e que se tornou numa verdadeira indústria criminosa que factura dezenas ou centenas de milhões de dólares em resgates digitais. Este caso saltou para as primeiras páginas por ter levado ao encerramento de um dos maiores pipelinas de abastecimento na América do Norte - algo que atraiu demasiada publicidade, ao ponto do grupo DarkSide responsável ter vindo pedir desculpa, tentando esclarecer que não era para ser encarado como um ataque da Rússia às infraestruturas, mas sim um "normal" caso de chantagem que apenas queria dinheiro.

Dinheiro que obteve, já que a empresa acabou por pagar quase 5 milhões de dólares, embora - e tornando o caso mais ridículo - de nada tenha servido, já que a ferramenta de descodificação dos ficheiros era demasiado lenta, acabando por ser mais rápido repor o sistema a partir dos backups. Ainda assim, o caso funcionou como a "gota de água" para o ransomware, atraindo as atenções das autoridades, e pedidos para que o ransomware passe a ser equiparado a terrorismo e combatido como tal. Um desfecho que poderá ter sido antecipado pelo grupo, que desapareceu de forma misteriosa sem pagar as "comissões" aos seus associados, que agora também se queixam de terem sido enganados!

Entretanto, a investigação ao caso já foi dar com o ponto de entrada do ransomware na rede. Aparentemente, havia uma conta de acesso via VPN que já nem estava a ser usada pela empresa, mas cuja password faz parte das listas de passwords que circulam na net. O que significa que, desta vez, a culpa não foi de um utilizador que tenha clicado num email de phishing, ou num site malicioso, mas sim de uma conta de acesso VPN que deveria usar autenticação 2-factor, que impossibilitaria / dificultaria, que mesmo uma password comprometida desse acesso directo à rede interna da empresa.

Fica a lição dada, para que outras empresas não cometam o mesmo erro.