工業網絡安全公司 Dragos 透露,2023 年 5 月 8 日,一個勒索軟件組織試圖破壞其基礎設施并勒索它,安全團隊禁用了受感染的帳戶并將攻擊者拒之門外。

攻擊者是如何入侵的?

據該公司公布的一份時間表,黑客僅用了16個多小時就成功訪問了一些數據,其中包括通常向付費客戶提供的25份Dragos情報報告和一個合同管理系統。

 Dragos 分享的攻擊時間表

此外,攻擊者還從該公司的SharePoint下載了通用數據,并向公司高管發送電子郵件,威脅說如果該公司拒絕支付勒索要求,將公布被盜數據。

黑客試圖滲透Dragos基礎設施的其他幾個部分,例如IT服務臺以及財務和營銷系統、員工識別系統和“銷售線索”。

網絡犯罪分子在新銷售員工入職日期之前泄露了他/她的個人電子郵件地址,并使用獲得的個人信息冒充 Dragos 員工并完成員工入職流程的初始步驟。

該公司表示,由于基于角色的訪問控制規則,黑客訪問失敗。Dragos調查了公司安全信息和事件管理(SIEM)中的警報,并阻止了受感染的帳戶。攻擊者沒有完成橫向移動、提升權限、建立持久訪問或對基礎架構進行任何更改。

 勒索失敗轉向短信威脅 

有趣的是,網絡犯罪集團未能部署勒索軟件,然后轉向試圖勒索公司以避免公開披露。 該組織向 Dragos 高管發送了各種信息和勒索電子郵件,但該公司拒接與犯罪分子取得聯系。

據Dragos稱,當Dragos沒有回應勒索要求時,黑客開始將目標對準高管及其家人以及與公司有關的其他人。其中一條信息寫道:“他們不關心你或你的組織。就像數百家與我們打交道的公司一樣。”

Dragos對此次攻擊的公開回應以及該公司的透明度贏得了專家的贊揚。國土安全部前助理部長布萊恩·哈雷爾 (Brain Harrell)表示,“雖然對客戶沒有影響,但這是一個關于如何隔離、減輕、恢復和披露的明確例子。”

 黑客疑似竊取了130GB的數據 

值得一提的是,在Dragos的博客文章發布后的周三,在線惡意軟件存儲庫vx-undergound在Twitter上發布的Telegram頻道的屏幕截圖似乎是針對Dragos的攻擊者,但尚未得到證實。

該頻道的所有者表示,該事件并非勒索軟件攻擊。犯罪黑客稱Dragos通過支付敲詐勒索要求該公司“試圖嚴重淡化事件”,“而不是達成解決方案”。

疑似黑客還聲稱,這起事件不是勒索軟件攻擊,并表示他們可以訪問從Dragos網絡竊取的超過130GB的數據。到目前為止,還沒有任何證據表明該說法屬實。

雖然外部事件響應公司和Dragos分析師認為事件已得到控制,但這是一項正在進行的調查。由于他們選擇不支付勒索而丟失并可能被公開的數據令人遺憾。

MITRE ATT&CK 映射 

網絡安全 黑客 勒索
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接