工业网络安全公司 Dragos 披露了它所称的“网络安全事件”,此前一个已知的网络犯罪团伙试图突破其防御并渗透到内部网络以加密设备。
虽然 Dragos 表示威胁行为者没有破坏其网络或网络安全平台,但他们可以访问公司的 SharePoint 云服务和合同管理系统。
该公司表示:“2023 年 5 月 8 日,一个已知的网络犯罪集团试图对 Dragos 进行勒索,但没有成功。没有任何 Dragos 系统遭到破坏,包括与 Dragos 平台相关的任何内容。 ”
“犯罪集团通过在新销售员工入职日期之前泄露其个人电子邮件地址获得访问权限,随后使用他们的个人信息冒充 Dragos 员工并完成员工入职流程的初始步骤。”
在攻破 Dragos 的 SharePoint 云平台后,攻击者下载了“通用数据”并访问了通常只对客户开放的 25 份英特尔报告。
在他们访问该员工帐户的 16 小时内,威胁行为者也未能访问多个 Dragos 系统——包括其消息传递、IT 帮助台、财务、提案请求 (RFP)、员工识别和营销系统——由于角色——基于访问控制 (RBAC) 规则。
在未能攻破公司内部网络后,他们在攻击发生 11 小时后向 Dragos 高管发送了一封勒索电子邮件。
由于邮件是在工作时间以外发送的,因此该邮件在 5 小时后才被阅读。
阅读勒索信息五分钟后,Dragos 禁用了受损的 sure 帐户,撤销了所有活动会话,并阻止了网络犯罪分子的基础设施访问公司资源。
“我们相信,我们的分层安全控制措施阻止了威胁行为者实现我们认为是他们启动勒索软件的主要目标,”Dragos说。
“他们还无法完成横向移动、提升权限、建立持久访问或对基础架构进行任何更改。”
该网络犯罪集团还试图通过威胁要在 Dragos 高管、高级员工及其家人的公共联系人和个人电子邮件发送的消息中公开披露该事件来勒索公司。
“虽然外部事件响应公司和 Dragos 分析师认为事件已得到控制,但这是一项正在进行的调查。由于我们选择不支付敲诈勒索而丢失并可能公开的数据令人遗憾,”Dragos 总结道。
IOC 中列出的 IP 地址之一 ( 144.202.42.216 ) 之前被发现托管 SystemBC 恶意软件 和 Cobalt Strike ,勒索软件团伙通常使用这两种恶意 软件远程访问受感染的系统。
Equinix 的CTI 研究员 Will Thomas 告诉我们,SystemBC 已被许多勒索软件团伙使用。
Conti、ViceSociety、BlackCat、Quantum、Zeppelin 和 Play,因此很难确定攻击背后的威胁参与者。
Thomas 表示,该 IP 地址也被用于最近的 BlackBasta 勒索软件攻击,可能会缩小嫌疑人的范围。
Dragos 发言人表示,当联系到有关此事件背后的网络犯罪组织的更多详细信息时,他们会稍后回复。