За атаката срещу Dragos и как отвърнаха на удара

Нападателите са компрометирали личната електронна поща на нов служител и след като първоначалната атака се е провалила, са се опитали да накарат компанията да им плати с помощта на социално модифицирани съобщения.

Някой може да възрази, че компаниите за сигурност трябва да са по-подготвени от повечето организации за защита срещу кибератака. Такъв беше случаят в Dragos наскоро, когато известна група за изнудване се опита, но не успя, да изтръгне пари от доставчика на услуги за сигурност чрез социално инженерна атака, която се случи, след като компрометира личния имейл акаунт на нов служител.

Атаката се е случила на 8 май, като нападателите са получили достъп до SharePoint и системата за управление на договори на Dragos чрез компрометиране на личния имейл адрес на нов служител по продажбите преди датата на започване на работа на лицето, разкри компанията в публикация в блога си на 10 май. След това нападателят е използвал откраднатата лична информация от хакерската атака, за да се представи за служителя и да изпълни първоначалните стъпки в процеса на въвеждане на служителите в Dragos.

Бързата реакция на Dragos попречи на групата за заплахи да постигне целта си – разгръщане на ransomware – или да се ангажира с по-нататъшни дейности, като странично придвижване, увеличаване на привилегиите, установяване на постоянен достъп или извършване на промени в която и да е инфраструктура на Dragos, заяви компанията.

„Не са нарушени никакви системи на Dragos, включително нищо, свързано с платформата Dragos“, се казва в публикацията.

Нападателите обаче не са спрели дотук. След като първоначалната стратегия на групата за компрометиране и изнудване се оказала неуспешна, тя бързо „се насочила към опити за изнудване на Dragos, за да избегне публичното разкриване“, заяви компанията. Нападателите са направили това, като са изпратили множество съобщения до ръководителите на Dragos, в които са заплашили да разкрият атаката публично, ако не им бъде платено.

Групата дори е стигнала дотам, че е започнала да използва лични съобщения, като е споменавала членове на семействата и лични контакти на служителите на компанията, както и е изпращала имейли до личните акаунти на висши служители на Dragos, за да предизвика отговор.

В крайна сметка компанията решава, че „най-добрият отговор е да не се ангажира с престъпниците“ и успява да овладее инцидента, се посочва в публикацията.

Все пак Dragos призна за загуба на данни, която вероятно ще доведе до публично изтичане на информация, тъй като компанията е решила да не плати откуп, което е „достойно за съжаление“. Въпреки това фирмата се придържа към решението си да не се ангажира и да не преговаря с киберпрестъпниците, заяви тя.

Насърчаване на киберпрозрачността

Нерядко компаниите за сигурност разкриват атаките, които са преживели, но Dragos заяви, че е решила да го направи като пример за това как да се предотврати пробив в сигурността, преди той да причини значителни щети. Освен това тя иска да „помогне за дестигматизиране на събитията, свързани със сигурността“, пише компанията в публикацията.

Всъщност, както неведнъж са доказвали инцидентите със сигурността, нито една компания – дори и тези, които изглеждат здраво заключени – не е защитена от атаки, особено при сегашното ниво на хитрост и изтънченост на нападателите при използването на тактики за социално инженерство, според един експерт по сигурността.

Всъщност разказът за Dragos „е една от редките истории, в които се говори за наистина изпипан опит за социално инженерство и бързо разкриване, което е довело до минимални щети“, пише в изявление по имейл Роджър Граймс, специалист по защита, базирана на данни, във фирмата за сигурност KnowBe4.

Инцидентът трябва да привлече вниманието към „много активните измами със социално инженерство, които се случват в сферата на наемането“, пише той. Всъщност не всяка компания има такъв късмет и не се защитава толкова добре, отбеляза Гримс.

„Има и много истории за работодатели, които наемат фалшиви служители, съществуващи само за да крадат и да мамят работодателя си, фалшиви служители, които всъщност не познават работата си и само прибират заплатите, докато не бъдат уволнени, както и за измами в обратната посока, при които легитимни лица, търсещи работа, са били измамени, докато са търсели работа“, казва той.

Реакцията и вътрешното смекчаване са ключови по време на кибератака

Макар че разследването на инцидента продължава, Dragos е успяла да предотврати по-сериозна атака благодарение на бързата реакция и многопластовия подход на компанията към сигурността, който според публикацията трябва да бъде пример за други.

Компанията е проучила сигналите в корпоративната си система за управление на информацията и събитията в областта на сигурността (SIEM) и е блокирала компрометирания акаунт, както и е активирала договора си с доставчик на услуги за реагиране при инциденти и е ангажирала доставчик на услуги за мониторинг, откриване и реагиране (MDR) от трета страна, който да управлява усилията за реагиране при инциденти.

„Изчерпателните дневници на системните дейности позволиха бързото сортиране и ограничаване на това събитие, свързано със сигурността“, заявиха от компанията.

За да се избегнат подобни атаки в бъдеще, компанията заяви, че е добавила допълнителна стъпка за проверка, за да усъвършенства допълнително процеса на приемане на нови служители, за да гарантира, че техниката, използвана при атаката, няма да се повтори.

Освен това, тъй като всеки осуетен опит за достъп се е дължал на многоетапно одобрение на достъпа, Dragos също така оценява разширяването на тази стратегия за други системи в зависимост от това колко са критични.

Съвети за киберустойчивост за други организации

Dragos направи и някои препоръки за други организации, които да им помогнат да избегнат подобен сценарий на атака. Компанията съветва, че укрепването на инфраструктурата и процесите за управление на идентичността и достъпа в крайна сметка е основна опорна точка за всяка организация, която се стреми към киберустойчивост. И е добра идея да се въведе разделение на задълженията в предприятието, така че нито един човек да не разполага с пълно управление на средата.

Организациите също така трябва да прилагат принципа на най-малките привилегии за всички системи и услуги и да прилагат многофакторна автентикация навсякъде, където това е възможно, казват от компанията.

Други стъпки за избягване на подобно компрометиране от страна на служителите, какото са претърпели в  Dragos, включват прилагане на изрични блокировки за известни лоши IP адреси и внимателно разглеждане на входящите имейли за типични фишинг тригери, включително имейл адрес, URL и правопис.

И накрая, според Dragos организациите като цяло трябва да гарантират, че е налице непрекъснато наблюдение на сигурността, като са подготвени тествани наръчници за реакция при инциденти в случай на атака.

Източник: DARKReading

Подобни публикации

4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
30 ноември 2023

Microsoft започва тестване на новата функция за...

Microsoft започна да тества нова функция на Windows 11 Energy Saver...
30 ноември 2023

Dollar Tree е жертва на нарушаване на сигурност...

Веригата дисконтови магазини Dollar Tree беше засегната от нарушава...
30 ноември 2023

Катарската кибер агенция провежда национални уч...

Националната агенция за киберсигурност (NCSA) на Катар проверява си...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
03/12/2023

Свалянето на Qakbot: Смекча...

Министерството на правосъдието на САЩ и...
02/12/2023

Владимир Дунаев е осъден за...

Министерството на правосъдието на САЩ обяви,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!