黑客使用泄露的VPN密码入侵了Colonial管道

对该事件的最新调查显示，策划上月初殖民地管道攻击的勒索软件卡特尔使用一个泄露的虚拟专用网络（VPN）帐户密码破坏了管道运营商的网络。

彭博社（Bloomberg）周五报道了这一进展，其中包括最早在4月29日通过VPN账户获得网络的初始立足点，该账户允许员工远程访问该公司的网络。

VPN登录—；在—上没有多因素保护；报告称，在攻击发生时，该公司未使用但处于活动状态，并补充说，该密码后来在黑暗网络上的一批泄露密码中被发现，这表明该公司的一名员工可能在之前被破解的另一个帐户上重复使用了同一密码。

然而，网络安全公司Mandiant的高级副总裁查尔斯·卡马卡尔（Charles Carmakal）对该出版物说，目前尚不清楚密码是如何获得的。FireEye旗下的子公司目前正在协助Colonial Pipeline应对5月7日的勒索软件攻击事件，导致该公司停止运营近一周。

黑客攻击背后的网络犯罪集团DarkSide自那以后已经解散，但在此之前，它通过双重勒索从Colonial Pipeline窃取了近100G的数据，迫使该公司在黑客攻击后不久支付440万美元赎金，并避免泄露敏感信息。据估计，该团伙在其九个月的行动中已逃走近9000万美元。

殖民地管道事件还促使美国运输安全管理局于5月28日发布安全指令，要求管道运营商在12小时内向网络安全和基础设施安全局（CISA）报告网络攻击，此外，还要求设施在30天内提交一份脆弱性评估，以确定其现有做法中的任何差距。

最近几个月，勒索软件攻击事件激增，包括与俄罗斯有关联的REvil group上周对巴西肉类加工公司JBS的攻击，突显了对关键基础设施的威胁，并引入了一个新的故障点，对消费者供应链和日常运营造成了严重影响，导致燃料短缺和紧急医疗程序延误。

随着赎金需求急剧膨胀，从数千美元膨胀到数百万美元，针对知名受害者的袭击也随之膨胀，能源、教育、医疗和食品行业的公司越来越成为首要目标，反过来助长了恶性循环，使网络犯罪分子能够寻求尽可能多的赔偿。

双重勒索的盈利商业模式—；i、 例如，结合数据过滤和勒索软件威胁—；还导致攻击者将该技术扩展到所谓的三重勒索，即要求客户、合作伙伴和其他与最初违规行为有关的第三方支付款项，以便为其犯罪行为索要更多资金。

令人担忧的是，这种向犯罪行为人行贿的趋势也引发了越来越多的担忧，即它可能会建立一个危险的先例，进一步助长攻击者挑出关键基础设施并将其置于危险之中的胆量。

REvil（又名Sodinokibi）已开始将一种新策略纳入其勒索软件即服务（RaaS）策略手册，其中包括发起分布式拒绝服务（DDoS）攻击，并向受害者的业务合作伙伴和媒体拨打语音电话，Check Point的研究人员上个月透露，“旨在对受害者的公司施加进一步的压力，以便在指定的时间范围内满足赎金要求。”。

网络安全公司NetScout表示：“通过将文件加密、数据盗窃和DDoS攻击结合起来，网络犯罪分子基本上达到了勒索软件三位一体的目的，目的是增加支付的可能性。”。

勒索软件大流行的破坏力也引发了一系列行动，美国联邦调查局（FBI）将这一长期存在的问题列为“首要任务”根据路透社上周的一份报告，司法部表示，它正在将勒索软件攻击的调查提升到与恐怖主义类似的优先级。

联邦调查局局长克里斯托弗·雷伊在接受《华尔街日报》采访时表示，联邦调查局正在寻找破坏支持勒索软件行业的犯罪生态系统的方法，该机构正在调查近100种不同类型的勒索软件，其中大多数都可追溯到俄罗斯，将国家安全威胁与2001年9月11日恐怖袭击构成的挑战进行比较。

更新：在6月8日的参议院委员会听证会上，Colonial Pipeline首席执行官约瑟夫·布朗特（Joseph Blount）表示，破坏美国汽油供应的勒索软件攻击始于攻击者利用一个不打算使用的传统VPN配置文件。布朗特在证词中说：“我们仍在努力确定攻击者是如何获得利用它所需的证件的。”。

布朗特说，除了关闭传统VPN配置文件外，整个企业还实施了额外的保护层，以增强其网络防御能力。他补充说：“但犯罪团伙和民族国家总是在不断演变，他们的战术越来越尖锐，并努力寻找新的方式渗透到美国公司和政府的系统中。这些袭击将继续发生，关键的基础设施将继续成为目标。”。