Le piratage du pipeline Colonial, qui a entraîné une pénurie de carburants aux États-Unis, résulterait d'après Bloomberg d'une cascade caricaturale de failles indiquant que les standards les plus basiques de la cybersécurité n'auraient pas été respectés.
Des chercheurs de Mandiant n'ont pas trouvé de preuve de phishing pour l'employé dont les informations d'identification ont été utilisées pour installer le ransomware.
Ils ont en effet découvert que l'attaque aurait été initiée via un VPN au moyen de son mot de passe, qui avait été compromis. Le compte n'était plus utilisé au moment de l'attaque, mais n'avait pas pour autant été désactivé.
Mandiant a de plus retrouvé sa trace dans un lot de mots de passe en vente sur le darkweb, signe qu'il était compromis depuis un certain temps.
S'il n'est pas établi que la compromission soit associée à la découverte de ce mot de passe sur le dark web, l'accès au VPN n'était pas protégé par une authentification à double facteur.
Les pirates, affiliés à un groupe de cybercriminalité lié à la Russie connu sous le nom de DarkSide, avaient également volé près de 100 Go de données et menacé Colonial de les divulguer si la rançon n'était pas payée.
Un cascade de bévues qui, outre les 75 bitcoins de rançon (un peu moins de 4,4 millions de dollars), a incité le département américain de la Justice à élever les enquêtes au sujet des attaques de ransomware au même rang de priorité que le terrorisme.
Commentaires (9)
#1
Ils feraient mieux d’élever les enquêtes sur les bonnes pratiques de sécurité informatique dans les entreprises :v
Sérieux, le MFA passe encore mais des comptes user non désactivés…
#2
Bonjour, j’ai une petite question d’ordre générale : l’article évoque une attaque par VPN (avec mot de passe compromis), j’avoue avoir du mal à comprendre la différence entre un VPN et une connexion SSH. Est-ce que l’attaque n’aurait pas pu avoir lieu si la connexion était via paire de clé SSH ? Merci
#3
le mot de passe du VPN était dispo dans la nature.
si le mot de passe du compte SSH ou sa clé étaient dans la nature, ce serait pareil.
#3.1
Merci à tous. Du coup pour vulgariser au maximum (en acceptant quelques erreurs d’interprétations), ça veut dire qu’un :
g tou compri ? ^^
#4
Le VPN est une connexion réseau à un réseau distant via un tunnel qui “simule” un réseau local (comme si tu étais branché avec un câble au bureau)
L’accès SSH est un accès sécurisé à une machine qui, si elle est sur internet, te permet d’y entrer des commandes et du coup d’accéder à son réseau (de la machine), mais ton pc n’aura pas l’accès au réseau sur lequel la machine distante est branchée.
Tu saisies maintenant ?
#5
Oui et non (port forwarding)
#6
SSH + reverse proxy : t’es sur le réseau local de la machine distante
#7
SSH est une invite de commande distante (dans ce contexte) (et sécurisée). Un VPN est un déport local du réseau distant (ta machine se retrouve dans le réseau).
#8
Merci, c’est plus clair à présent, c’est gentil à toi et vous autres de m’avoir éclairé.