Нападателите са компрометирали личната електронна поща на нов служител и след като първоначалната атака се е провалила, са се опитали да накарат компанията да им плати с помощта на социално модифицирани съобщения.

Някой може да възрази, че компаниите за сигурност трябва да са по-подготвени от повечето организации за защита срещу кибератака. Такъв беше случаят в Dragos наскоро, когато известна група за изнудване се опита, но не успя, да изтръгне пари от доставчика на услуги за сигурност чрез социално инженерна атака, която се случи, след като компрометира личния имейл акаунт на нов служител.

Атаката се е случила на 8 май, като нападателите са получили достъп до SharePoint и системата за управление на договори на Dragos чрез компрометиране на личния имейл адрес на нов служител по продажбите преди датата на започване на работа на лицето, разкри компанията в публикация в блога си на 10 май. След това нападателят е използвал откраднатата лична информация от хакерската атака, за да се представи за служителя и да изпълни първоначалните стъпки в процеса на въвеждане на служителите в Dragos.

Бързата реакция на Dragos попречи на групата за заплахи да постигне целта си – разгръщане на ransomware – или да се ангажира с по-нататъшни дейности, като странично придвижване, увеличаване на привилегиите, установяване на постоянен достъп или извършване на промени в която и да е инфраструктура на Dragos, заяви компанията.

„Не са нарушени никакви системи на Dragos, включително нищо, свързано с платформата Dragos“, се казва в публикацията.

Нападателите обаче не са спрели дотук. След като първоначалната стратегия на групата за компрометиране и изнудване се оказала неуспешна, тя бързо „се насочила към опити за изнудване на Dragos, за да избегне публичното разкриване“, заяви компанията. Нападателите са направили това, като са изпратили множество съобщения до ръководителите на Dragos, в които са заплашили да разкрият атаката публично, ако не им бъде платено.

Групата дори е стигнала дотам, че е започнала да използва лични съобщения, като е споменавала членове на семействата и лични контакти на служителите на компанията, както и е изпращала имейли до личните акаунти на висши служители на Dragos, за да предизвика отговор.

В крайна сметка компанията решава, че „най-добрият отговор е да не се ангажира с престъпниците“ и успява да овладее инцидента, се посочва в публикацията.

Все пак Dragos призна за загуба на данни, която вероятно ще доведе до публично изтичане на информация, тъй като компанията е решила да не плати откуп, което е „достойно за съжаление“. Въпреки това фирмата се придържа към решението си да не се ангажира и да не преговаря с киберпрестъпниците, заяви тя.

Насърчаване на киберпрозрачността

Нерядко компаниите за сигурност разкриват атаките, които са преживели, но Dragos заяви, че е решила да го направи като пример за това как да се предотврати пробив в сигурността, преди той да причини значителни щети. Освен това тя иска да „помогне за дестигматизиране на събитията, свързани със сигурността“, пише компанията в публикацията.

Всъщност, както неведнъж са доказвали инцидентите със сигурността, нито една компания – дори и тези, които изглеждат здраво заключени – не е защитена от атаки, особено при сегашното ниво на хитрост и изтънченост на нападателите при използването на тактики за социално инженерство, според един експерт по сигурността.

Всъщност разказът за Dragos „е една от редките истории, в които се говори за наистина изпипан опит за социално инженерство и бързо разкриване, което е довело до минимални щети“, пише в изявление по имейл Роджър Граймс, специалист по защита, базирана на данни, във фирмата за сигурност KnowBe4.

Инцидентът трябва да привлече вниманието към „много активните измами със социално инженерство, които се случват в сферата на наемането“, пише той. Всъщност не всяка компания има такъв късмет и не се защитава толкова добре, отбеляза Гримс.

„Има и много истории за работодатели, които наемат фалшиви служители, съществуващи само за да крадат и да мамят работодателя си, фалшиви служители, които всъщност не познават работата си и само прибират заплатите, докато не бъдат уволнени, както и за измами в обратната посока, при които легитимни лица, търсещи работа, са били измамени, докато са търсели работа“, казва той.

Реакцията и вътрешното смекчаване са ключови по време на кибератака

Макар че разследването на инцидента продължава, Dragos е успяла да предотврати по-сериозна атака благодарение на бързата реакция и многопластовия подход на компанията към сигурността, който според публикацията трябва да бъде пример за други.

Компанията е проучила сигналите в корпоративната си система за управление на информацията и събитията в областта на сигурността (SIEM) и е блокирала компрометирания акаунт, както и е активирала договора си с доставчик на услуги за реагиране при инциденти и е ангажирала доставчик на услуги за мониторинг, откриване и реагиране (MDR) от трета страна, който да управлява усилията за реагиране при инциденти.

„Изчерпателните дневници на системните дейности позволиха бързото сортиране и ограничаване на това събитие, свързано със сигурността“, заявиха от компанията.

За да се избегнат подобни атаки в бъдеще, компанията заяви, че е добавила допълнителна стъпка за проверка, за да усъвършенства допълнително процеса на приемане на нови служители, за да гарантира, че техниката, използвана при атаката, няма да се повтори.

Освен това, тъй като всеки осуетен опит за достъп се е дължал на многоетапно одобрение на достъпа, Dragos също така оценява разширяването на тази стратегия за други системи в зависимост от това колко са критични.

Съвети за киберустойчивост за други организации

Dragos направи и някои препоръки за други организации, които да им помогнат да избегнат подобен сценарий на атака. Компанията съветва, че укрепването на инфраструктурата и процесите за управление на идентичността и достъпа в крайна сметка е основна опорна точка за всяка организация, която се стреми към киберустойчивост. И е добра идея да се въведе разделение на задълженията в предприятието, така че нито един човек да не разполага с пълно управление на средата.

Организациите също така трябва да прилагат принципа на най-малките привилегии за всички системи и услуги и да прилагат многофакторна автентикация навсякъде, където това е възможно, казват от компанията.

Други стъпки за избягване на подобно компрометиране от страна на служителите, какото са претърпели в  Dragos, включват прилагане на изрични блокировки за известни лоши IP адреси и внимателно разглеждане на входящите имейли за типични фишинг тригери, включително имейл адрес, URL и правопис.

И накрая, според Dragos организациите като цяло трябва да гарантират, че е налице непрекъснато наблюдение на сигурността, като са подготвени тествани наръчници за реакция при инциденти в случай на атака.