Perusahaan keamanan dunia maya Dragos hari ini mengungkapkan apa yang digambarkannya sebagai “peristiwa keamanan dunia maya” setelah geng kejahatan dunia maya yang dikenal berusaha menembus pertahanannya dan menyusup ke jaringan internal untuk mengenkripsi perangkat.
Sementara Dragos menyatakan bahwa pelaku ancaman tidak melanggar jaringan atau platform keamanan sibernya, mereka mendapatkan akses ke layanan cloud SharePoint perusahaan dan sistem manajemen kontrak.
“Pada 8 Mei 2023, kelompok penjahat dunia maya yang dikenal mencoba dan gagal dalam skema pemerasan terhadap Dragos. Tidak ada sistem Dragos yang dilanggar, termasuk apa pun yang terkait dengan Platform Dragos,” perusahaan itu dikatakan.
“Grup kriminal memperoleh akses dengan mengkompromikan alamat email pribadi karyawan penjualan baru sebelum tanggal mulai mereka, dan kemudian menggunakan informasi pribadi mereka untuk menyamar sebagai karyawan Dragos dan menyelesaikan langkah awal dalam proses orientasi karyawan.”
Setelah melanggar platform cloud SharePoint Dragos, penyerang mengunduh “data penggunaan umum” dan mengakses 25 laporan intel yang biasanya hanya tersedia untuk pelanggan.
Selama 16 jam mereka memiliki akses ke akun karyawan, pelaku ancaman juga gagal mengakses beberapa sistem Dragos—termasuk pengiriman pesan, meja bantuan TI, keuangan, permintaan proposal (RFP), pengenalan karyawan, dan sistem pemasaran—karena peran- aturan kontrol akses berbasis (RBAC).
Setelah gagal menembus jaringan internal perusahaan, mereka mengirim email pemerasan ke eksekutif Dragos 11 jam setelah penyerangan. Pesan dibaca 5 jam kemudian karena dikirim di luar jam kerja.
Lima menit setelah membaca pesan pemerasan, Dragos menonaktifkan akun tertentu yang disusupi, mencabut semua sesi aktif, dan memblokir infrastruktur penjahat dunia maya untuk mengakses sumber daya perusahaan.
“Kami yakin bahwa kontrol keamanan berlapis kami mencegah pelaku ancaman mencapai apa yang kami yakini sebagai tujuan utama mereka meluncurkan ransomware,” kata Dragos.
“Mereka juga dicegah untuk melakukan gerakan lateral, meningkatkan hak istimewa, membangun akses terus-menerus, atau membuat perubahan apa pun pada infrastruktur.”
Grup kejahatan dunia maya juga berusaha memeras perusahaan dengan mengancam akan mengungkapkan insiden tersebut secara terbuka dalam pesan yang dikirim melalui kontak publik dan email pribadi milik eksekutif Dragos, karyawan senior, dan anggota keluarga mereka.
“Sementara firma respons insiden eksternal dan analis Dragos merasa peristiwa itu terkendali, ini adalah penyelidikan yang sedang berlangsung. Data yang hilang dan kemungkinan dipublikasikan karena kami memilih untuk tidak membayar pemerasan sangat disesalkan,” simpul Dragos.
Salah satu alamat IP yang terdaftar di IOC (144.202.42[.]216) sebelumnya melihat hosting itu Malware SystemBCbiasanya digunakan oleh geng ransomware untuk akses jarak jauh ke sistem yang disusupi.
Peneliti CTI Will Thomas dari Equinix memberi tahu BleepingComputer bahwa SystemBC telah digunakan oleh banyak geng ransomware, termasuk Conti, ViceSociety, BlackCat, Quantum, Zeppelin, dan Play, sehingga sulit untuk menentukan aktor ancaman apa yang berada di balik serangan tersebut.
Thomas mengatakan bahwa alamat IP juga telah terlihat digunakan serangan ransomware BlackBasta baru-baru inimungkin mempersempit tersangka.
Seorang juru bicara Dragos mengatakan mereka akan membalas nanti ketika BleepingComputer menghubungi untuk rincian lebih lanjut tentang kelompok kejahatan dunia maya di balik insiden ini.
