Зловмисники отримали доступ до інформації про хост і користувачів.
Агентство з кібербезпеки та безпеки інфраструктури США (CISA) виявило, що мережа неназваної урядової організації одного зі штатів була скомпрометована через обліковий запис адміністратора, який належить ексспівробітнику. Через цей акаунт хакери успішно пройшли автентифікацію у внутрішній точці доступу VPN. Облікові дані для авторизації вони, ймовірно, отримали в результаті іншого витоку даних, із загальнодоступних каналів. Таким чином, для атаки використовувалися два акаунти.
Внаслідок зламу зловмисники (хто саме за ним стоїть, поки що невідомо) заволоділи інформацією про хост і користувачів, і розмістили її в даркнеті, прагнучи отримати фінансовий зиск. Скомпрометованій організації довелося скинути паролі для всіх користувачів, вимкнути обліковий запис адміністратора, а також видалити підвищені привілеї для другого облікового запису.
Прикметно, що на жодному зі зламаних акаунтів не була увімкнута багатофакторна автентифікація (MFA), а обліковий запис звільненого співробітника не був видалений належним чином. Тож фахівці з кібербезпеки бозна-вкотре нагадують: MFA і реалізований у межах організацій принцип мінімальних привілеїв та сегментованого доступу до локальних і хмарних середовищ запобігає появі конфіденційних даних у даркнеті, і зберігає час, гроші та нерви.
