Η εταιρεία κυβερνοασφάλειας Dragos αποκαλύπτει περιστατικό κυβερνοασφάλειας, απόπειρα εκβιασμού

Η βιομηχανική εταιρεία κυβερνοασφάλειας Dragos αποκάλυψε σήμερα αυτό που περιγράφει ως «γεγονός κυβερνοασφάλειας» αφού μια γνωστή συμμορία κυβερνοεγκλήματος προσπάθησε να παραβιάσει τις άμυνές της και να διεισδύσει στο εσωτερικό δίκτυο για να κρυπτογραφήσει συσκευές.

Ενώ ο Dragos δηλώνει ότι οι παράγοντες της απειλής δεν παραβίασαν το δίκτυό του ή την πλατφόρμα κυβερνοασφάλειας, είχαν πρόσβαση στην υπηρεσία cloud της εταιρείας SharePoint και στο σύστημα διαχείρισης συμβολαίων.

“Στις 8 Μαΐου 2023, μια γνωστή ομάδα κυβερνοεγκληματιών επιχείρησε και απέτυχε σε ένα σχέδιο εκβιασμού κατά του Dragos. Δεν παραβιάστηκε κανένα σύστημα Dragos, συμπεριλαμβανομένου οτιδήποτε σχετίζεται με την πλατφόρμα Dragos”, η εταιρεία

είπε

.

“Η εγκληματική ομάδα απέκτησε πρόσβαση διακυβεύοντας την προσωπική διεύθυνση email ενός νέου υπαλλήλου πωλήσεων πριν από την ημερομηνία έναρξης και στη συνέχεια χρησιμοποίησε τα προσωπικά του στοιχεία για να μιμηθεί τον υπάλληλο της Dragos και να ολοκληρώσει τα πρώτα βήματα στη διαδικασία ενσωμάτωσης υπαλλήλου.”

Μετά την παραβίαση της πλατφόρμας cloud του Dragos SharePoint, οι εισβολείς κατέβασαν “δεδομένα γενικής χρήσης” και είχαν πρόσβαση σε 25 αναφορές intel που ήταν συνήθως διαθέσιμες μόνο στους πελάτες.

Κατά τη διάρκεια των 16 ωρών που είχαν πρόσβαση στον λογαριασμό του υπαλλήλου, οι παράγοντες της απειλής απέτυχαν επίσης να έχουν πρόσβαση σε πολλά συστήματα Dragos—συμπεριλαμβανομένων των μηνυμάτων του, του γραφείου υποστήριξης IT, του οικονομικού, του αιτήματος για πρόταση (RFP), της αναγνώρισης εργαζομένων και των συστημάτων μάρκετινγκ—λόγω ρόλου- βασισμένοι κανόνες ελέγχου πρόσβασης (RBAC).

Αφού απέτυχαν να παραβιάσουν το εσωτερικό δίκτυο της εταιρείας, έστειλαν ένα email εκβιασμού στα στελέχη του Dragos 11 ώρες μετά την επίθεση. Το μήνυμα διαβάστηκε 5 ώρες αργότερα επειδή στάλθηκε εκτός ωραρίου λειτουργίας.

Πέντε λεπτά μετά την ανάγνωση του μηνύματος εκβιασμού, ο Dragos απενεργοποίησε τον παραβιασμένο ασφαλή λογαριασμό, ανακάλεσε όλες τις ενεργές περιόδους λειτουργίας και απέκλεισε την πρόσβαση της υποδομής των εγκληματιών στον κυβερνοχώρο από τους πόρους της εταιρείας.

«Είμαστε βέβαιοι ότι οι πολυεπίπεδοι έλεγχοι ασφαλείας μας εμπόδισαν τον παράγοντα απειλής να επιτύχει αυτό που πιστεύουμε ότι είναι ο πρωταρχικός του στόχος για την κυκλοφορία ransomware», είπε ο Dragos.

«Επίσης, εμποδίστηκαν να πραγματοποιήσουν πλευρική κίνηση, να κλιμακώσουν τα προνόμια, να δημιουργήσουν επίμονη πρόσβαση ή να κάνουν οποιεσδήποτε αλλαγές στην υποδομή».

Η ομάδα εγκλήματος στον κυβερνοχώρο προσπάθησε επίσης να εκβιάσει την εταιρεία απειλώντας να αποκαλύψει δημόσια το περιστατικό σε μηνύματα που στάλθηκαν μέσω δημόσιων επαφών και προσωπικών email που ανήκαν σε στελέχη της Dragos, ανώτερους υπαλλήλους και μέλη της οικογένειάς τους.

“Ενώ η εταιρεία αντιμετώπισης εξωτερικών περιστατικών και οι αναλυτές της Dragos πιστεύουν ότι το γεγονός περιορίζεται, αυτή είναι μια συνεχιζόμενη έρευνα. Τα δεδομένα που χάθηκαν και πιθανόν να δημοσιοποιηθούν επειδή επιλέξαμε να μην πληρώσουμε τον εκβιασμό είναι λυπηρά”, κατέληξε ο Ντράγκος.

Μία από τις διευθύνσεις IP που αναφέρονται στις ΔΟΕ (

144.202.42[.]216

) ήταν προηγουμένως

εντοπισμένη φιλοξενία

το κακόβουλο λογισμικό SystemBC, που χρησιμοποιείται συνήθως από συμμορίες ransomware για απομακρυσμένη πρόσβαση σε παραβιασμένα συστήματα.

Ο ερευνητής του CTI Will Thomas

από την Equinix είπε στο BleepingComputer ότι το SystemBC έχει χρησιμοποιηθεί από πολλές συμμορίες ransomware, συμπεριλαμβανομένων των Conti, ViceSociety, BlackCat, Quantum, Zeppelin και Play, γεγονός που καθιστά δύσκολο τον εντοπισμό του παράγοντα απειλής πίσω από την επίθεση.

Ο Thomas είπε ότι η διεύθυνση IP έχει επίσης χρησιμοποιηθεί σε

πρόσφατες επιθέσεις ransomware BlackBasta

περιορίζοντας πιθανώς τους υπόπτους.

Ένας εκπρόσωπος του Dragos είπε ότι θα απαντούσαν αργότερα όταν η BleepingComputer επικοινωνούσε για περισσότερες λεπτομέρειες σχετικά με την ομάδα εγκλήματος στον κυβερνοχώρο πίσω από αυτό το περιστατικό.