La société de cybersécurité Dragos a été ciblée par un acteur malveillant dont l’objectif était apparemment de déployer un ransomware (s’ouvre dans un nouvel onglet) et extorquer l’entreprise.
La tentative a échoué et Dragos a partagé les détails de ce qui s’était passé, dans l’espoir d’aider d’autres entreprises qui pourraient se retrouver dans une situation similaire à l’avenir.
Dans un article de blog (s’ouvre dans un nouvel onglet), Dragos a signalé qu’un auteur de menaces avait réussi à accéder aux systèmes de l’entreprise via un compte de messagerie précédemment compromis appartenant à un membre du personnel nouvellement employé. Ils ont utilisé l’accès pour se faire passer pour le nouvel employé et accéder aux ressources « habituellement utilisées » par les nouveaux employés des ventes, dans SharePoint et le système de gestion des contacts Dragos. Ils ont également réussi à obtenir un rapport avec les adresses IP associées à un client, incitant Dragos à contacter immédiatement ce client.
Vol « regrettable »
La société pense avoir repéré l’agresseur à temps et l’a empêché de faire des dégâts importants.
« Nous sommes convaincus que nos contrôles de sécurité en couches ont empêché l’acteur de la menace d’accomplir ce que nous pensons être son objectif principal de lancer un ransomware », lit-on sur le blog. « Ils ont également été empêchés d’accomplir un mouvement latéral, d’augmenter les privilèges, d’établir un accès persistant ou d’apporter des modifications à l’infrastructure. »
Cependant, cela n’a pas empêché les attaquants d’essayer d’extorquer à l’entreprise les données qu’ils avaient prises. Peu de temps après, ils ont contacté les dirigeants de l’entreprise via WhatsApp, menaçant de divulguer des données sensibles sur le dark web. « NOUS AVONS TOUT. », lit-on dans l’un des messages.
Comme l’entreprise n’a pas bronché, les assaillants ont alors eu recours à la mention des membres de la famille, ainsi qu’à contacter d’autres contacts de Dragos pour tenter de déclencher une réponse.
« Bien que la société externe de réponse aux incidents et les analystes de Dragos estiment que l’événement est contenu, il s’agit d’une enquête en cours », indique en outre le blog. « Les données qui ont été perdues et susceptibles d’être rendues publiques parce que nous avons choisi de ne pas payer l’extorsion sont regrettables. Cependant, nous espérons que mettre en évidence les méthodes de l’adversaire aidera les autres à envisager des défenses supplémentaires contre ces approches afin qu’ils ne deviennent pas victimes d’efforts similaires.