Dragos опубликовала подробности взлома своей инфраструктуры

Компания Dragos, специализирующаяся на кибербезопасности промышленных объектов, сообщила о попытке атаки со стороны киберпреступной группы. Злоумышленники пытались проникнуть во внутреннюю сеть компании и зашифровать ее устройства, но не смогли достичь своей цели.

По словам представителей Dragos, атакующие не смогли взломать ни одну из систем компании, включая ее кибербезопасностную платформу. Однако им удалось получить доступ к облачному сервису SharePoint и системе управления контрактами компании.

"8 мая 2023 года киберпреступная группа попыталась и не смогла осуществить схему вымогательства против Dragos. Ни одна из систем Dragos не была взломана, включая все, что связано с платформой Dragos", - говорится в заявлении компании.

"Криминальная группа получила доступ, скомпрометировав личный адрес электронной почты нового сотрудника отдела продаж до его выхода на работу, а затем использовала его личную информацию для подделки личности сотрудника Dragos и выполнения первоначальных шагов в процессе адаптации сотрудника".

После того, как злоумышленники проникли на облачную платформу SharePoint компании Dragos, они скачали "общедоступные данные" и получили доступ к 25 аналитическим отчетам, которые обычно были доступны только для клиентов компании.

В течение 16 часов, пока у них был доступ к аккаунту сотрудника, атакующие не смогли также получить доступ к нескольким системам Dragos - включая системы обмена сообщениями, IT-поддержки, финансовые системы, системы запросов на предложения (RFP), системы поощрения сотрудников и маркетинговые системы - из-за правил контроля доступа на основе ролей (RBAC).

После неудачной попытки проникнуть во внутреннюю сеть компании киберпреступники отправили письмо с требованием выкупа руководству Dragos через 11 часов после начала атаки. Сообщение было прочитано через 5 часов, потому что оно было отправлено вне рабочего времени.

Через пять минут после прочтения сообщения с требованием выкупа Dragos отключил скомпрометированный аккаунт пользователя, отозвал все активные сессии и заблокировал инфраструктуру киберпреступников от доступа к ресурсам компании.

"Мы уверены, что наши многоуровневые меры безопасности предотвратили достижение хакерами того, что, мы полагаем, было их основной целью - запуска вымогательского ПО", - заявила компания Dragos.

“Им также не удалось осуществить боковое перемещение (Lateral Movement), эскалацию привилегий, установление постоянного доступа или внесение каких-либо изменений в инфраструктуру”.

Киберпреступная группа также пыталась вымогать деньги у компании, угрожая обнародовать инцидент в сообщениях, отправленных через общедоступные контакты и личные адреса электронной почты руководителей Dragos, старших сотрудников и их родственников.

“Хотя внешняя фирма по реагированию на инциденты и аналитики Dragos считают, что событие было локализовано, расследование продолжается. Данные, которые были потеряны, скорее всего будут опубликованы, потому что мы решили не платить выкуп ”, - сказала компания Dragos.

Один из IP-адресов, перечисленных в IOCs (144.202.42[.]216), ранее был замечен при размещении вредоносного ПО SystemBC и Cobalt Strike, которые часто используются бандами вымогателей для удаленного доступа к скомпрометированным системам.

Исследователь CTI Will Thomas из Equinix сообщил, что SystemBC использовался многими бандами вымогателей, включая Conti, ViceSociety, BlackCat, Quantum, Zeppelin и Play, что затрудняет определение того, какая банда стоит за атакой.

Томас сказал, что IP-адрес также был замечен в недавних атаках вымогательского ПО BlackBasta, возможно, сужая круг подозреваемых.

Компания Dragos специализируется на защите промышленных систем управления (ICS) от кибератак. Она предоставляет своим клиентам услуги по мониторингу и обнаружению угроз для ICS, а также разрабатывает интеллектуальную платформу для анализа и реагирования на киберинциденты в ICS. Среди клиентов компании - крупные промышленные компании из разных отраслей, включая энергетику, нефтегазовую промышленность, производство и транспорт.

Кибератаки на промышленные объекты могут иметь серьезные последствия для безопасности и непрерывности работы критически важной инфраструктуры. В последнее время такие атаки стали все чаще происходить, как показывают примеры Colonial Pipeline, JBS и Kaseya.

Поэтому компании, занимающиеся кибербезопасностью промышленных объектов, также становятся целями для киберпреступников, которые пытаются получить доступ к их данным и системам. Компания Dragos демонстрирует высокий уровень защиты своих ресурсов и отказ от уступок вымогателям.