Нападателите са компрометирали личната електронна поща на нов служител и след като първоначалната атака се е провалила, са се опитали да накарат компанията да им плати с помощта на социално модифицирани съобщения.

Някой може да възрази, че компаниите за сигурност трябва да са по-подготвени от повечето организации за защита срещу кибератака. Такъв беше случаят в Dragos наскоро, когато известна група за изнудване се опита, но не успя, да изтръгне пари от доставчика на услуги за сигурност чрез социално инженерна атака, която се случи, след като компрометира личния имейл акаунт на нов служител.

Атаката се е случила на 8 май, като нападателите са получили достъп до SharePoint и системата за управление на договори на Dragos чрез компрометиране на личния имейл адрес на нов служител по продажбите преди датата на започване на работа на лицето, разкри компанията в публикация в блога си на 10 май. След това нападателят е използвал откраднатата лична информация от хакерската атака, за да се представи за служителя и да изпълни първоначалните стъпки в процеса на въвеждане на служителите в Dragos.

Бързата реакция на Dragos попречи на групата за заплахи да постигне целта си – разгръщане на ransomware – или да се ангажира с по-нататъшни дейности, като странично придвижване, увеличаване на привилегиите, установяване на постоянен достъп или извършване на промени в която и да е инфраструктура на Dragos, заяви компанията.

„Не са нарушени никакви системи на Dragos, включително нищо, свързано с платформата Dragos“, се казва в публикацията.

Нападателите обаче не са спрели дотук. След като първоначалната стратегия на групата за компрометиране и изнудване се оказала неуспешна, тя бързо „се насочила към опити за изнудване на Dragos, за да избегне публичното разкриване“, заяви компанията. Нападателите са направили това, като са изпратили множество съобщения до ръководителите на Dragos, в които са заплашили да разкрият атаката публично, ако не им бъде платено.

Групата дори е стигнала дотам, че е започнала да използва лични съобщения, като е споменавала членове на семействата и лични контакти на служителите на компанията, както и е изпращала имейли до личните акаунти на висши служители на Dragos, за да предизвика отговор.

В крайна сметка компанията решава, че „най-добрият отговор е да не се ангажира с престъпниците“ и успява да овладее инцидента, се посочва в публикацията.

Все пак Dragos призна за загуба на данни, която вероятно ще доведе до публично изтичане на информация, тъй като компанията е решила да не плати откуп, което е „достойно за съжаление“. Въпреки това фирмата се придържа към решението си да не се ангажира и да не преговаря с киберпрестъпниците, заяви тя.

Насърчаване на киберпрозрачността

Нерядко компаниите за сигурност разкриват атаките, които са преживели, но Dragos заяви, че е решила да го направи като пример за това как да се предотврати пробив в сигурността, преди той да причини значителни щети. Освен това тя иска да „помогне за дестигматизиране на събитията, свързани със сигурността“, пише компанията в публикацията.

Всъщност, както неведнъж са доказвали инцидентите със сигурността, нито една компания – дори и тези, които изглеждат здраво заключени – не е защитена от атаки, особено при сегашното ниво на хитрост и изтънченост на нападателите при използването на тактики за социално инженерство, според един експерт по сигурността.

Всъщност разказът за Dragos „е една от редките истории, в които се говори за наистина изпипан опит за социално инженерство и бързо разкриване, което е довело до минимални щети“, пише в изявление по имейл Роджър Граймс, специалист по защита, базирана на данни, във фирмата за сигурност KnowBe4.

Инцидентът трябва да привлече вниманието към „много активните измами със социално инженерство, които се случват в сферата на наемането“, пише той. Всъщност не всяка компания има такъв късмет и не се защитава толкова добре, отбеляза Гримс.

„Има и много истории за работодатели, които наемат фалшиви служители, съществуващи само за да крадат и да мамят работодателя си, фалшиви служители, които всъщност не познават работата си и само прибират заплатите, докато не бъдат уволнени, както и за измами в обратната посока, при които легитимни лица, търсещи работа, са били измамени, докато са търсели работа“, казва той.

Реакцията и вътрешното смекчаване са ключови по време на кибератака

Макар че разследването на инцидента продължава, Dragos е успяла да предотврати по-сериозна атака благодарение на бързата реакция и многопластовия подход на компанията към сигурността, който според публикацията трябва да бъде пример за други.

Компанията е проучила сигналите в корпоративната си система за управление на информацията и събитията в областта на сигурността (SIEM) и е блокирала компрометирания акаунт, както и е активирала договора си с доставчик на услуги за реагиране при инциденти и е ангажирала доставчик на услуги за мониторинг, откриване и реагиране (MDR) от трета страна, който да управлява усилията за реагиране при инциденти.

„Изчерпателните дневници на системните дейности позволиха бързото сортиране и ограничаване на това събитие, свързано със сигурността“, заявиха от компанията.

За да се избегнат подобни атаки в бъдеще, компанията заяви, че е добавила допълнителна стъпка за проверка, за да усъвършенства допълнително процеса на приемане на нови служители, за да гарантира, че техниката, използвана при атаката, няма да се повтори.

Освен това, тъй като всеки осуетен опит за достъп се е дължал на многоетапно одобрение на достъпа, Dragos също така оценява разширяването на тази стратегия за други системи в зависимост от това колко са критични.

Съвети за киберустойчивост за други организации

Dragos направи и някои препоръки за други организации, които да им помогнат да избегнат подобен сценарий на атака. Компанията съветва, че укрепването на инфраструктурата и процесите за управление на идентичността и достъпа в крайна сметка е основна опорна точка за всяка организация, която се стреми към киберустойчивост. И е добра идея да се въведе разделение на задълженията в предприятието, така че нито един човек да не разполага с пълно управление на средата.

Организациите също така трябва да прилагат принципа на най-малките привилегии за всички системи и услуги и да прилагат многофакторна автентикация навсякъде, където това е възможно, казват от компанията.

Други стъпки за избягване на подобно компрометиране от страна на служителите, какото са претърпели в  Dragos, включват прилагане на изрични блокировки за известни лоши IP адреси и внимателно разглеждане на входящите имейли за типични фишинг тригери, включително имейл адрес, URL и правопис.

И накрая, според Dragos организациите като цяло трябва да гарантират, че е налице непрекъснато наблюдение на сигурността, като са подготвени тествани наръчници за реакция при инциденти в случай на атака.

Източник: DARKReading

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
06/01/2025

Фалшивите CAPTCHA атаки нар...

Експерти по сигурността предупреждават, че през...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!