工业网络安全公司 Dragos 透露,2023 年 5 月 8 日,一个勒索软件组织试图破坏其基础设施并勒索它,安全团队禁用了受感染的帐户并将攻击者拒之门外。
据该公司公布的一份时间表,黑客仅用了16个多小时就成功访问了一些数据,其中包括通常向付费客户提供的25份Dragos情报报告和一个合同管理系统。
Dragos 分享的攻击时间表此外,攻击者还从该公司的SharePoint下载了通用数据,并向公司高管发送电子邮件,威胁说如果该公司拒绝支付勒索要求,将公布被盗数据。黑客试图渗透Dragos基础设施的其他几个部分,例如IT服务台以及财务和营销系统、员工识别系统和“销售线索”。网络犯罪分子在新销售员工入职日期之前泄露了他/她的个人电子邮件地址,并使用获得的个人信息冒充 Dragos 员工并完成员工入职流程的初始步骤。该公司表示,由于基于角色的访问控制规则,黑客访问失败。Dragos调查了公司安全信息和事件管理(SIEM)中的警报,并阻止了受感染的帐户。攻击者没有完成横向移动、提升权限、建立持久访问或对基础架构进行任何更改。有趣的是,网络犯罪集团未能部署勒索软件,然后转向试图勒索公司以避免公开披露。 该组织向 Dragos 高管发送了各种信息和勒索电子邮件,但该公司拒接与犯罪分子取得联系。据Dragos称,当Dragos没有回应勒索要求时,黑客开始将目标对准高管及其家人以及与公司有关的其他人。其中一条信息写道:“他们不关心你或你的组织。就像数百家与我们打交道的公司一样。”Dragos对此次攻击的公开回应以及该公司的透明度赢得了专家的赞扬。国土安全部前助理部长布莱恩·哈雷尔 (Brain Harrell)表示,“虽然对客户没有影响,但这是一个关于如何隔离、减轻、恢复和披露的明确例子。”值得一提的是,在Dragos的博客文章发布后的周三,在线恶意软件存储库vx-undergound在Twitter上发布的Telegram频道的屏幕截图似乎是针对Dragos的攻击者,但尚未得到证实。该频道的所有者表示,该事件并非勒索软件攻击。犯罪黑客称Dragos通过支付敲诈勒索要求该公司“试图严重淡化事件”,“而不是达成解决方案”。疑似黑客还声称,这起事件不是勒索软件攻击,并表示他们可以访问从Dragos网络窃取的超过130GB的数据。到目前为止,还没有任何证据表明该说法属实。虽然外部事件响应公司和Dragos分析师认为事件已得到控制,但这是一项正在进行的调查。由于他们选择不支付勒索而丢失并可能被公开的数据令人遗憾。MITRE ATT&CK 映射
妥协指标
IP地址
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。
查看原文
