За атаката срещу Dragos и как отвърнаха на удара

Нападателите са компрометирали личната електронна поща на нов служител и след като първоначалната атака се е провалила, са се опитали да накарат компанията да им плати с помощта на социално модифицирани съобщения.

Някой може да възрази, че компаниите за сигурност трябва да са по-подготвени от повечето организации за защита срещу кибератака. Такъв беше случаят в Dragos наскоро, когато известна група за изнудване се опита, но не успя, да изтръгне пари от доставчика на услуги за сигурност чрез социално инженерна атака, която се случи, след като компрометира личния имейл акаунт на нов служител.

Атаката се е случила на 8 май, като нападателите са получили достъп до SharePoint и системата за управление на договори на Dragos чрез компрометиране на личния имейл адрес на нов служител по продажбите преди датата на започване на работа на лицето, разкри компанията в публикация в блога си на 10 май. След това нападателят е използвал откраднатата лична информация от хакерската атака, за да се представи за служителя и да изпълни първоначалните стъпки в процеса на въвеждане на служителите в Dragos.

Бързата реакция на Dragos попречи на групата за заплахи да постигне целта си – разгръщане на ransomware – или да се ангажира с по-нататъшни дейности, като странично придвижване, увеличаване на привилегиите, установяване на постоянен достъп или извършване на промени в която и да е инфраструктура на Dragos, заяви компанията.

„Не са нарушени никакви системи на Dragos, включително нищо, свързано с платформата Dragos“, се казва в публикацията.

Нападателите обаче не са спрели дотук. След като първоначалната стратегия на групата за компрометиране и изнудване се оказала неуспешна, тя бързо „се насочила към опити за изнудване на Dragos, за да избегне публичното разкриване“, заяви компанията. Нападателите са направили това, като са изпратили множество съобщения до ръководителите на Dragos, в които са заплашили да разкрият атаката публично, ако не им бъде платено.

Групата дори е стигнала дотам, че е започнала да използва лични съобщения, като е споменавала членове на семействата и лични контакти на служителите на компанията, както и е изпращала имейли до личните акаунти на висши служители на Dragos, за да предизвика отговор.

В крайна сметка компанията решава, че „най-добрият отговор е да не се ангажира с престъпниците“ и успява да овладее инцидента, се посочва в публикацията.

Все пак Dragos призна за загуба на данни, която вероятно ще доведе до публично изтичане на информация, тъй като компанията е решила да не плати откуп, което е „достойно за съжаление“. Въпреки това фирмата се придържа към решението си да не се ангажира и да не преговаря с киберпрестъпниците, заяви тя.

Насърчаване на киберпрозрачността

Нерядко компаниите за сигурност разкриват атаките, които са преживели, но Dragos заяви, че е решила да го направи като пример за това как да се предотврати пробив в сигурността, преди той да причини значителни щети. Освен това тя иска да „помогне за дестигматизиране на събитията, свързани със сигурността“, пише компанията в публикацията.

Всъщност, както неведнъж са доказвали инцидентите със сигурността, нито една компания – дори и тези, които изглеждат здраво заключени – не е защитена от атаки, особено при сегашното ниво на хитрост и изтънченост на нападателите при използването на тактики за социално инженерство, според един експерт по сигурността.

Всъщност разказът за Dragos „е една от редките истории, в които се говори за наистина изпипан опит за социално инженерство и бързо разкриване, което е довело до минимални щети“, пише в изявление по имейл Роджър Граймс, специалист по защита, базирана на данни, във фирмата за сигурност KnowBe4.

Инцидентът трябва да привлече вниманието към „много активните измами със социално инженерство, които се случват в сферата на наемането“, пише той. Всъщност не всяка компания има такъв късмет и не се защитава толкова добре, отбеляза Гримс.

„Има и много истории за работодатели, които наемат фалшиви служители, съществуващи само за да крадат и да мамят работодателя си, фалшиви служители, които всъщност не познават работата си и само прибират заплатите, докато не бъдат уволнени, както и за измами в обратната посока, при които легитимни лица, търсещи работа, са били измамени, докато са търсели работа“, казва той.

Реакцията и вътрешното смекчаване са ключови по време на кибератака

Макар че разследването на инцидента продължава, Dragos е успяла да предотврати по-сериозна атака благодарение на бързата реакция и многопластовия подход на компанията към сигурността, който според публикацията трябва да бъде пример за други.

Компанията е проучила сигналите в корпоративната си система за управление на информацията и събитията в областта на сигурността (SIEM) и е блокирала компрометирания акаунт, както и е активирала договора си с доставчик на услуги за реагиране при инциденти и е ангажирала доставчик на услуги за мониторинг, откриване и реагиране (MDR) от трета страна, който да управлява усилията за реагиране при инциденти.

„Изчерпателните дневници на системните дейности позволиха бързото сортиране и ограничаване на това събитие, свързано със сигурността“, заявиха от компанията.

За да се избегнат подобни атаки в бъдеще, компанията заяви, че е добавила допълнителна стъпка за проверка, за да усъвършенства допълнително процеса на приемане на нови служители, за да гарантира, че техниката, използвана при атаката, няма да се повтори.

Освен това, тъй като всеки осуетен опит за достъп се е дължал на многоетапно одобрение на достъпа, Dragos също така оценява разширяването на тази стратегия за други системи в зависимост от това колко са критични.

Съвети за киберустойчивост за други организации

Dragos направи и някои препоръки за други организации, които да им помогнат да избегнат подобен сценарий на атака. Компанията съветва, че укрепването на инфраструктурата и процесите за управление на идентичността и достъпа в крайна сметка е основна опорна точка за всяка организация, която се стреми към киберустойчивост. И е добра идея да се въведе разделение на задълженията в предприятието, така че нито един човек да не разполага с пълно управление на средата.

Организациите също така трябва да прилагат принципа на най-малките привилегии за всички системи и услуги и да прилагат многофакторна автентикация навсякъде, където това е възможно, казват от компанията.

Други стъпки за избягване на подобно компрометиране от страна на служителите, какото са претърпели в  Dragos, включват прилагане на изрични блокировки за известни лоши IP адреси и внимателно разглеждане на входящите имейли за типични фишинг тригери, включително имейл адрес, URL и правопис.

И накрая, според Dragos организациите като цяло трябва да гарантират, че е налице непрекъснато наблюдение на сигурността, като са подготвени тествани наръчници за реакция при инциденти в случай на атака.

Източник: DARKReading

Подобни публикации

1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
27/05/2023

DarkFrost унищожава гейминг...

Наблюдава се нов ботнет, наречен Dark...
Последно добавени
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!