image

Colonial Pipeline weet niet hoe vpn-wachtwoord gebruikt bij aanval werd gestolen

woensdag 9 juni 2021, 16:43 door Redactie, 5 reacties

De Colonial Pipeline Company weet niet hoe het vpn-wachtwoord waardoor criminelen toegang tot het netwerk kregen en ransomware konden uitrollen is gestolen. Dat liet ceo Joseph Blount tijdens een hoorzitting voor een commissie van de Amerikaanse senaat weten. Vorige week werd al bekend dat de aanvallers via een gelekt vpn-wachtwoord waren binnengekomen.

"Hoewel het onderzoek nog gaande is, denken we dat de aanvaller misbruik heeft gemaakt van een legacy vpn-profiel dat niet meer in gebruik had moeten zijn. We zijn nog steeds aan het onderzoeken hoe de aanvallers toegang tot de benodigde inloggegevens hebben gekregen om de aanval uit te voeren", aldus Blount. Eerder stelde securitybedrijf Mandiant, dat bij het onderzoek is betrokken, dat het vpn-wachtwoord in een verzameling van gelekte wachtwoorden op internet was aangetroffen.

De Colonial Pipeline-ceo voegde toe dat voor de legacy vpn alleen een wachtwoord was vereist. Er werd geen multifactorauthenticatie gebruikt. "Ik wil duidelijk maken dat het een complex wachtwoord was. Het was niet een colonial123-achtig wachtwoord", merkte Blount op. De ceo bevestigde een vraag van een senator dat het belangrijk is om van multifactorauthenticatie gebruik te maken.

Het herstellen van alle systemen zal nog maanden in beslag nemen en het bedrijf tientallen miljoenen dollars kosten. Eerder betaalde Colonial Pipeline de aanvallers 75 bitcoin, wat op dat moment 4,4 miljoen dollar was. De FBI heeft daarvan inmiddels 63,7 bitcoin in beslag genomen. Op welke manier de opsporingsdienst dit heeft gedaan is nog altijd onbekend.

Reacties (5)
09-06-2021, 17:08 door Anoniem
Ik hoor een gevalletje SIEM aankomen.
09-06-2021, 19:17 door Anoniem
Door Anoniem: Ik hoor een gevalletje SIEM aankomen.

Het zit nog in de pipeline.
Misschien komt het er nog uit.
09-06-2021, 19:36 door Anoniem
Met het soort bedragen die hier in omgaan kan je best eens wat geld er tegenaan gooien om een beheerder ergens om te kopen.
09-06-2021, 20:53 door Anoniem
Onderzoekers ontdekten het vpn-wachtwoord in een verzameling van gelekte wachtwoorden op internet.

Geïnfecteerde end user... Of insider job... of bullshit verhaal.... etc etc etc

Oftewel geen preshared secret naast het wachtwoord en geen password expiration policy... De standaard kneuzen foutjes dus.... Lang leve de "security experts" die een super goedkope oplossing uitrollen onder druk van het management !!!!!

En zo blijven we dus bezig in de it security met allerlei eenvoudig te voorkomen security rampen want dat mag je dit wel noemen. Je bent verantwoordelijk voor de halve energie bevoorrading van Amerika en dan flik je zoiets....

Maar gelukkig hebben wij dat soort problemen ook in Nederland als we kijken naar de recente publicaties over de waterleidingbedrijven. IT Security is niet voor debieltjes.... Tijd dat we eens een echte security standaard gaan inrichten zodat voor bepaalde zaken alleen nog gecertificeerde diensten mogen worden gebruikt. En dan bedoel ik niet iso27001 en soortgelijke onzin standaarden. Na 30 jaar in de IT security blijkt elke dag maar weer. IT security is geen technisch probleem in de kern. Het is een zakelijk probleem omdat er geen harde kwaliteitseisen zijn die echt wat voorstellen.

En dat komt doordat de financiële auditors die in het verleden bang waren hun audit omzet kwijt te raken voor een deel aan technische security assurance en dus een NEP SECURITY standaard hebben bedacht waar de echte technische IT security specialisten nu de wrange vruchten van plukken!!!

Dit gecombineerd met managers die niet gehinderd door enige moraal de meest achterlijke risico's accepteren in om maar hun targets te halen... Overheid waar blijf je met wetgeving die echt wat voorstelt. Of kun je alleen maar belasting heffen?!?!?!??!?!?!?
14-06-2021, 12:04 door Anoniem
Door Anoniem: Ik hoor een gevalletje SIEM aankomen.

Ook met een SIEM ga je dit niet oplossen.
Als dit "gewoon" een VPN user is, zullen er geen alarmbellen afgaan.
Daarnaast vertrouwt een SIEM op input van andere tooling die dus ook weer goed moet worden ingesteld.

Typisch een gevalletje JML wat niet goed in processen en procedures is ingebakken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.