Empresa de segurança cibernética Dragos revela incidente de segurança e tentativa de extorsão
11 de Maio de 2023

A empresa de cibersegurança industrial Dragos divulgou hoje o que descreve como um "evento de cibersegurança" depois que um grupo conhecido de cibercriminosos tentou invadir suas defesas e infiltrar a rede interna para criptografar dispositivos.

Embora a Dragos afirme que os atores da ameaça não invadiram sua rede ou plataforma de cibersegurança, eles obtiveram acesso ao serviço de nuvem do SharePoint da empresa e ao sistema de gerenciamento de contratos.

"Em 8 de maio de 2023, um grupo conhecido de cibercriminosos tentou e falhou em um esquema de extorsão contra a Dragos.

Nenhum sistema da Dragos foi invadido, incluindo qualquer coisa relacionada à Plataforma Dragos", disse a empresa.

"O grupo criminoso obteve acesso comprometendo o endereço de e-mail pessoal de um novo funcionário de vendas antes de sua data de início e, subsequentemente, usou suas informações pessoais para se passar pelo funcionário da Dragos e realizar as primeiras etapas no processo de integração do funcionário."

Depois de invadir a plataforma de nuvem do SharePoint da Dragos, os invasores baixaram "dados de uso geral" e acessaram 25 relatórios de inteligência que normalmente estavam disponíveis apenas para clientes.

Durante as 16 horas em que tiveram acesso à conta do funcionário, os atores da ameaça não conseguiram acessar vários sistemas da Dragos - incluindo seus sistemas de mensagens, helpdesk de TI, financeiro, solicitação de proposta (RFP), reconhecimento de funcionários e sistemas de marketing - devido às regras de controle de acesso baseadas em função (RBAC).

Depois de não conseguir invadir a rede interna da empresa, eles enviaram um e-mail de extorsão para executivos da Dragos 11 horas após o ataque.

A mensagem foi lida 5 horas depois porque foi enviada fora do horário comercial.

Cinco minutos após ler a mensagem de extorsão, a Dragos desativou a conta comprometida, revogou todas as sessões ativas e bloqueou a infraestrutura dos cibercriminosos de acessar os recursos da empresa.

"Estamos confiantes de que nossos controles de segurança em camadas impediram o ator da ameaça de realizar o que acreditamos ser seu objetivo principal de lançar ransomware", disse a Dragos.

"Eles também foram impedidos de realizar movimento lateral, escalonar privilégios, estabelecer acesso persistente ou fazer quaisquer alterações na infraestrutura."

O grupo de cibercrime também tentou extorquir a empresa ameaçando divulgar publicamente o incidente em mensagens enviadas por contatos públicos e e-mails pessoais pertencentes a executivos, funcionários seniores e seus familiares da Dragos.

"Embora a empresa de resposta a incidentes externos e os analistas da Dragos acreditem que o evento foi contido, esta é uma investigação em andamento.

Os dados que foram perdidos e provavelmente serão divulgados porque optamos por não pagar a extorsão são lamentáveis", disse a Dragos.

Um dos endereços IP listados nos IOCs (144.202.42 [.] 216) foi visto anteriormente hospedando malware SystemBC e Cobalt Strike, ambos comumente usados por gangues de ransomware para acesso remoto a sistemas comprometidos.

O pesquisador de CTI Will Thomas, da Equinix, disse ao BleepingComputer que o SystemBC tem sido usado por inúmeras gangues de ransomware, incluindo Conti, ViceSociety, BlackCat, Quantum, Zeppelin e Play, tornando difícil identificar qual ator da ameaça está por trás do ataque.

Thomas disse que o endereço IP também foi visto sendo usado em recentes ataques de ransomware BlackBasta, possivelmente estreitando os suspeitos.

Um porta-voz da Dragos disse que responderia posteriormente quando o BleepingComputer solicitou mais detalhes sobre o grupo de cibercrime por trás deste incidente.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...