
La société de cybersécurité industrielle Dragos a révélé aujourd’hui ce qu’elle décrit comme un « événement de cybersécurité » après qu’un gang de cybercriminalité connu a tenté de violer ses défenses et d’infiltrer le réseau interne pour chiffrer les appareils.
Alors que Dragos déclare que les acteurs de la menace n’ont pas violé son réseau ou sa plate-forme de cybersécurité, ils ont eu accès au service cloud SharePoint de l’entreprise et au système de gestion des contrats.
« Le 8 mai 2023, un groupe cybercriminel connu a tenté et échoué dans un stratagème d’extorsion contre Dragos. Aucun système Dragos n’a été piraté, y compris tout ce qui concerne la plate-forme Dragos », a déclaré la société.
« Le groupe criminel a obtenu l’accès en compromettant l’adresse e-mail personnelle d’un nouvel employé des ventes avant sa date de début, et a ensuite utilisé ses informations personnelles pour se faire passer pour l’employé de Dragos et accomplir les premières étapes du processus d’intégration des employés. »
Après avoir violé la plate-forme cloud SharePoint de Dragos, les attaquants ont téléchargé des « données d’utilisation générale » et ont accédé à 25 rapports Intel qui n’étaient généralement disponibles que pour les clients.
Au cours des 16 heures où ils ont eu accès au compte de l’employé, les acteurs de la menace n’ont pas non plus accès à plusieurs systèmes Dragos, y compris sa messagerie, son service d’assistance informatique, ses systèmes financiers, de demande de propositions (RFP), de reconnaissance des employés et de marketing, en raison de son rôle. règles de contrôle d’accès basées sur les règles (RBAC).
Après avoir échoué à percer le réseau interne de l’entreprise, ils ont envoyé un e-mail d’extorsion aux dirigeants de Dragos 11 heures après le début de l’attaque. Le message a été lu 5 heures plus tard car il a été envoyé en dehors des heures ouvrables.

Cinq minutes après avoir lu le message d’extorsion, Dragos a désactivé le compte sûr compromis, a révoqué toutes les sessions actives et a empêché l’infrastructure des cybercriminels d’accéder aux ressources de l’entreprise.
« Nous sommes convaincus que nos contrôles de sécurité en couches ont empêché l’acteur de la menace d’accomplir ce que nous pensons être son objectif principal de lancer un ransomware », a déclaré Dragos.
« Ils ont également été empêchés d’accomplir un mouvement latéral, d’augmenter les privilèges, d’établir un accès persistant ou d’apporter des modifications à l’infrastructure. »
Le groupe de cybercriminalité a également tenté d’extorquer l’entreprise en menaçant de divulguer publiquement l’incident dans des messages envoyés via des contacts publics et des e-mails personnels appartenant aux dirigeants de Dragos, aux cadres supérieurs et aux membres de leur famille.
« Bien que la société externe de réponse aux incidents et les analystes de Dragos estiment que l’événement est contenu, il s’agit d’une enquête en cours. Les données qui ont été perdues et susceptibles d’être rendues publiques parce que nous avons choisi de ne pas payer l’extorsion sont regrettables », a conclu Dragos.
L’une des adresses IP répertoriées dans les IOC (144.202.42[.]216) a déjà été repérée hébergeant le malware SystemBC, couramment utilisé par les gangs de ransomwares pour l’accès à distance aux systèmes compromis.
Le chercheur CTI Will Thomas d’Equinix a déclaré à Breachtrace que SystemBC a été utilisé par de nombreux gangs de rançongiciels, notamment Conti, ViceSociety, BlackCat, Quantum, Zeppelin et Play, ce qui rend difficile l’identification de l’acteur menaçant derrière l’attaque.
Thomas a déclaré que l’adresse IP a également été utilisée dans les récentes attaques de ransomware BlackBasta, ce qui a peut-être réduit les suspects.
Un porte-parole de Dragos a déclaré qu’il répondrait plus tard lorsque Breachtrace aurait demandé plus de détails sur le groupe de cybercriminalité à l’origine de cet incident.