有惊无险但教训深刻！知名工业网络安全公司Dragos遭遇危险的勒索攻击

业网络安全供应商Dragos当地时间周三（5月10日）表示，一个已知的勒索软件组织击穿了其防御措施并访问了威胁情报报告、SharePoint门户和客户支持系统，但最终在一项精心设计的勒索计划中失败了，其中包括向公司高管发送私人信息。Dragos是ICS安全领域一家资本雄厚的初创公司，它表示其内部安全控制措施捕获并限制了入侵造成的损害，入侵始于犯罪集团在开始日期之前侵入新销售员工的个人电子邮件地址，并使用他们的个人信息冒充Dragos员工并完成员工入职流程的初始步骤。 该公司在一篇博客文章中中披露，他们的分级安全控制措施阻止了威胁行为者启动勒索软件。攻击者访问了新销售员工通常在SharePoint和Dragos合同管理系统中使用的资源。该公司公布了一份时间表，显示黑客仅用了16个多小时就成功访问了一些数据，其中包括通常向付费客户提供的25份Dragos情报报告和一个合同管理系统。Dragos表示，这名未具名的勒索软件攻击者还从该公司的SharePoint下载了通用数据，并向公司高管发送电子邮件，威胁说如果该公司拒绝支付勒索要求，将公布被盗数据。Dragos调查了公司安全信息和事件管理(SIEM)中的警报，并阻止了受感染的帐户。攻击者没有完成横向移动、提升权限、建立持久访问或对基础架构进行任何更改。事件还在继续调查中，但Dragos选择公开此次攻击事件，也是值得称赞的。

黑客组织确实在新销售员工开始在公司工作之前就获得了其个人电子邮件地址的访问权限。根据Dragos的说法，黑客在登录新员工的电子邮件帐户后，开始从Microsoft协作程序SharePoint和客户支持系统中窃取一般数据。该公司指出，其中一份情报报告拥有客户的IP。目前尚不清楚黑客何时侵入了新员工的电子邮件地址。

“虽然外部事件响应公司和Dragos分析师认为事件已得到控制，但这是一项正在进行的调查。由于我们选择不支付敲诈勒索而丢失并可能被公开的数据令人遗憾，”Dragos说。

黑客试图渗透Dragos基础设施的其他几个部分，例如IT服务台以及财务和营销系统。报告称，此外，攻击者还试图访问员工识别系统和“销售线索”。该公司表示，由于基于角色的访问控制规则，黑客无法访问这些系统。

据Dragos称，当Dragos没有回应勒索要求时，黑客开始将目标对准高管及其家人以及与公司有关的其他人。其中一条信息写道：“他们不关心你或你的组织。就像数百家与我们打交道的公司一样。”

该公司写道，在Dragos继续不参与之后，犯罪分子联系了多个已知的Dragos联系人“以引起回应”。“我们的决定是最好的回应是不与罪犯接触，”Dragos说。

阅读勒索信息五分钟后，Dragos禁用了受损的sure帐户，撤销了所有活动会话，并阻止了网络犯罪分子的基础设施访问公司资源。

在线恶意软件存储库vx-undergound在Twitter上发布的Telegram频道的屏幕截图似乎是针对Dragos的攻击者，但尚未得到证实。该频道似乎是在Dragos的博客文章发布后于周三创建的。

该频道的所有者表示，该事件并非勒索软件攻击。犯罪黑客称Dragos是一个“犯罪组织”，通过支付敲诈勒索要求该公司“试图严重淡化事件”，“而不是达成解决方案”。

疑似黑客还声称，这起事件不是勒索软件攻击，并表示他们可以访问从Dragos网络窃取的超过130GB的数据。到目前为止，还没有任何证据表明该说法属实。

Dragos对此次攻击的公开回应以及该公司的透明度赢得了专家的赞扬。国土安全部前助理部长布莱恩·哈雷尔 (Brain Harrell)表示，“虽然对客户没有影响，但这是一个关于如何隔离、减轻、恢复和披露的明确例子。”

“通常情况下，公司会保持沉默，绕着货车转，并在面临安全问题时拒绝出现，”他说。“由于民族国家的对手瞄准了为关键基础设施提供服务的供应商社区，这种透明模式是其他人在遇到问题时可以效仿的模式。”

披露的IOC中列出的IP地址之一( 144.202.42[.]216 )之前被发现托管SystemBC恶意软件和Cobalt Strike，勒索软件团伙通常使用这两种恶意软件远程访问受感染的系统。

Equinix的CTI研究员Will Thomas告诉BleepingComputer，SystemBC已被许多勒索软件团伙使用，包括Conti、ViceSociety、BlackCat、Quantum、Zeppelin和Play，因此很难确定攻击背后的威胁参与者。Thomas表示，该IP地址也被用于最近的BlackBasta勒索软件攻击，可能会缩小嫌疑人的范围。

Dragos在博文中强调，网络犯罪分子的文本展示了对家庭细节的研究，因为他们知道Dragos高管的家庭成员姓名，这是一个已知的TTP。但是，他们为这些家庭成员引用了虚构的电子邮件地址。此外，在此期间，网络罪犯通过个人电子邮件联系了Dragos的高级员工。他们的决定是最好的回应是不与罪犯接触。

虽然外部事件响应公司和Dragos分析师认为事件已得到控制，但这是一项正在进行的调查。由于他们选择不支付勒索而丢失并可能被公开的数据令人遗憾。然而，Dragos希望强调对手的方法将帮助其他人考虑针对这些方法采取额外的防御措施，以免他们成为类似努力的受害者。

该公司在最后的教训与建议部分，列出了多项经过实战检验且行之有效的安全控制措施和最佳实践，尽管这些是老生常谈，但不是每个组织都能实施到位。 

参考资源：

1.https://www.dragos.com/blog/deconstructing-a-cybersecurity-event/

2.https://cyberscoop.com/dragos-cyberattack-ransomware/

3.https://www.bleepingcomputer.com/news/security/cybersecurity-firm-dragos-discloses-cybersecurity-incident-extortion-attempt/

4.https://www.securityweek.com/dragos-says-ransomware-hackers-failed-at-elaborate-extortion-scheme/

原文来源：网空闲话

“投稿联系方式：孙中豪 010-82992251   [email protected]”

原文始发于微信公众号（CNCERT国家工程研究中心）：有惊无险但教训深刻！知名工业网络安全公司Dragos遭遇危险的勒索攻击