A empresa de cibersegurança industrial Dragos divulgou hoje o que descreve como um "evento de cibersegurança" depois que um grupo conhecido de cibercriminosos tentou invadir suas defesas e infiltrar a rede interna para criptografar dispositivos.
Embora a Dragos afirme que os atores da ameaça não invadiram sua rede ou plataforma de cibersegurança, eles obtiveram acesso ao serviço de nuvem do SharePoint da empresa e ao sistema de gerenciamento de contratos.
"Em 8 de maio de 2023, um grupo conhecido de cibercriminosos tentou e falhou em um esquema de extorsão contra a Dragos.
Nenhum sistema da Dragos foi invadido, incluindo qualquer coisa relacionada à Plataforma Dragos", disse a empresa.
"O grupo criminoso obteve acesso comprometendo o endereço de e-mail pessoal de um novo funcionário de vendas antes de sua data de início e, subsequentemente, usou suas informações pessoais para se passar pelo funcionário da Dragos e realizar as primeiras etapas no processo de integração do funcionário."
Depois de invadir a plataforma de nuvem do SharePoint da Dragos, os invasores baixaram "dados de uso geral" e acessaram 25 relatórios de inteligência que normalmente estavam disponíveis apenas para clientes.
Durante as 16 horas em que tiveram acesso à conta do funcionário, os atores da ameaça não conseguiram acessar vários sistemas da Dragos - incluindo seus sistemas de mensagens, helpdesk de TI, financeiro, solicitação de proposta (RFP), reconhecimento de funcionários e sistemas de marketing - devido às regras de controle de acesso baseadas em função (RBAC).
Depois de não conseguir invadir a rede interna da empresa, eles enviaram um e-mail de extorsão para executivos da Dragos 11 horas após o ataque.
A mensagem foi lida 5 horas depois porque foi enviada fora do horário comercial.
Cinco minutos após ler a mensagem de extorsão, a Dragos desativou a conta comprometida, revogou todas as sessões ativas e bloqueou a infraestrutura dos cibercriminosos de acessar os recursos da empresa.
"Estamos confiantes de que nossos controles de segurança em camadas impediram o ator da ameaça de realizar o que acreditamos ser seu objetivo principal de lançar ransomware", disse a Dragos.
"Eles também foram impedidos de realizar movimento lateral, escalonar privilégios, estabelecer acesso persistente ou fazer quaisquer alterações na infraestrutura."
O grupo de cibercrime também tentou extorquir a empresa ameaçando divulgar publicamente o incidente em mensagens enviadas por contatos públicos e e-mails pessoais pertencentes a executivos, funcionários seniores e seus familiares da Dragos.
"Embora a empresa de resposta a incidentes externos e os analistas da Dragos acreditem que o evento foi contido, esta é uma investigação em andamento.
Os dados que foram perdidos e provavelmente serão divulgados porque optamos por não pagar a extorsão são lamentáveis", disse a Dragos.
Um dos endereços IP listados nos IOCs (144.202.42 [.] 216) foi visto anteriormente hospedando malware SystemBC e Cobalt Strike, ambos comumente usados por gangues de ransomware para acesso remoto a sistemas comprometidos.
O pesquisador de CTI Will Thomas, da Equinix, disse ao BleepingComputer que o SystemBC tem sido usado por inúmeras gangues de ransomware, incluindo Conti, ViceSociety, BlackCat, Quantum, Zeppelin e Play, tornando difícil identificar qual ator da ameaça está por trás do ataque.
Thomas disse que o endereço IP também foi visto sendo usado em recentes ataques de ransomware BlackBasta, possivelmente estreitando os suspeitos.
Um porta-voz da Dragos disse que responderia posteriormente quando o BleepingComputer solicitou mais detalhes sobre o grupo de cibercrime por trás deste incidente.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...