(https://i.imgur.com/wwTSntR.png)
La compañía de ciberseguridad industrial Dragos reveló hoy lo que describe como un "evento de ciberseguridad" después de que una conocida banda de ciberdelincuentes intentara romper sus defensas e infiltrarse en la red interna para cifrar dispositivos.
Si bien Dragos afirma que los actores de amenazas no violaron su red o plataforma de ciberseguridad, obtuvieron acceso al servicio en la nube SharePoint de la compañía y al sistema de gestión de contratos.
"El 8 de mayo de 2023, un conocido grupo cibercriminal intentó y fracasó en un esquema de extorsión contra Dragos. No se violaron los sistemas de Dragos, incluido todo lo relacionado con la Plataforma Dragos", dijo la compañía.
"El grupo criminal obtuvo acceso al comprometer la dirección de correo electrónico personal de un nuevo empleado de ventas antes de su fecha de inicio, y posteriormente utilizó su información personal para hacerse pasar por el empleado de Dragos y realizar los pasos iniciales en el proceso de incorporación de empleados".
Después de violar la plataforma en la nube SharePoint de Dragos, los atacantes descargaron "datos de uso general" y accedieron a 25 informes de inteligencia que generalmente solo estaban disponibles para los clientes.
Durante las 16 horas que tuvieron acceso a la cuenta del empleado, los actores de amenazas no pudieron acceder a múltiples sistemas Dragos, incluidos sus sistemas de mensajería, asistencia técnica de TI, finanzas, solicitud de propuesta (RFP), reconocimiento de empleados y marketing, debido a las reglas de control de acceso basado en roles (RBAC).
Después de no poder violar la red interna de la compañía, enviaron un correo electrónico de extorsión a los ejecutivos de Dragos 11 horas después del ataque. El mensaje se leyó 5 horas después porque se envió fuera del horario comercial.
(https://i.imgur.com/ajWEkqT.png)
Cronología del incidente (Dragos)
Cinco minutos después de leer el mensaje de extorsión, Dragos deshabilitó la cuenta segura comprometida, revocó todas las sesiones activas y bloqueó la infraestructura de los ciberdelincuentes para que no accediera a los recursos de la empresa.
"Estamos seguros de que nuestros controles de seguridad en capas impidieron que el actor de amenazas lograra lo que creemos que es su objetivo principal de lanzar ransomware", dijo Dragos.
"También se les impidió realizar movimientos laterales, escalar privilegios, establecer acceso persistente o realizar cambios en la infraestructura".
El grupo de cibercrimen también intentó extorsionar a la compañía amenazando con revelar públicamente el incidente en mensajes enviados a través de contactos públicos y correos electrónicos personales pertenecientes a ejecutivos de Dragos, empleados de alto nivel y sus familiares.
"Si bien la firma externa de respuesta a incidentes y los analistas de Dragos sienten que el evento está contenido, esta es una investigación en curso. Los datos que se perdieron y que probablemente se harán públicos porque decidimos no pagar la extorsión son lamentables", concluyó Dragos.
Una de las direcciones IP enumeradas en los IOC (144.202.42[.] 216) fue visto anteriormente alojando malware SystemBC y Cobalt Strike, ambos comúnmente utilizados por bandas de ransomware para el acceso remoto a sistemas comprometidos.
El investigador de CTI Will Thomas de Equinix dijo a BleepingComputer que SystemBC ha sido utilizado por numerosas bandas de ransomware, incluidas Conti, ViceSociety, BlackCat, Quantum, Zeppelin y Play, por lo que es difícil determinar qué actor de amenaza está detrás del ataque.
Thomas dijo que la dirección IP también se ha visto utilizada en los recientes ataques de ransomware BlackBasta, posiblemente reduciendo a los sospechosos.
Un portavoz de Dragos dijo que responderían más tarde cuando BleepingComputer se comunicara para obtener más detalles sobre el grupo de cibercrimen detrás de este incidente.
Fuente: https://www.bleepingcomputer.com