Posté le mai 12, 2023 à 6:35
LE FOURNISSEUR DE SOLUTIONS DE SÉCURITÉ DRAGOS A ÉTÉ LA CIBLE DE HACKERS TENTANT DE LUI EXTORQUER DE L’ARGENT
Dragos a récemment été la cible d’une attaque par ransomware. Le fournisseur de solutions de cybersécurité a été la cible d’un groupe de ransomware qui a tenté en vain de lui extorquer de l’argent à l’aide d’une attaque par ingénierie sociale. L’attaque en question s’est produite après que des hackers ont compromis le compte de messagerie personnel de l’un des employés de l’entreprise.
Dragos a été visé par une attaque de ransomware
L’attaque en question s’est produite le 8 mai. Le groupe de ransomware à l’origine de l’exploit a obtenu l’accès à SharePoint et au système de gestion des contrats de l’entreprise. Les hackers ont obtenu l’accès initial en compromettant l’adresse électronique personnelle d’un nouvel employé commercial avant même qu’il ne commence à travailler chez Dragos.
L’attaquant a utilisé les données personnelles volées du nouvel employé pour se faire passer pour lui et finaliser les étapes initiales du processus d’intégration des employés dans l’entreprise. Cependant, Dragos a réagi rapidement, ce qui a empêché les hackers de déployer un ransomware et de mener d’autres exploits.
L’entreprise a assuré aux parties prenantes qu’aucun de ses systèmes n’avait été affecté par le piratage. Cependant, l’activité de ces hackers a persisté. Après l’exploit initial et l’échec de la stratégie de ransomware, le groupe d’acteurs de la menace a pivoté pour extorquer Dragos et éviter la divulgation publique de la tentative de piratage.
Les attaquants ont envoyé de nombreux messages aux cadres de l’entreprise, menaçant de révéler cet exploit au public s’ils ne recevaient pas de paiement. Le groupe est devenu personnel dans ses menaces et a fait référence aux contacts personnels et aux membres de la famille de l’entreprise. Ils ont également envoyé des e-mails à des comptes personnels appartenant à des cadres supérieurs de Dragos.
Dragos a déclaré qu’elle n’avait pas répondu aux criminels et qu’elle avait réussi à contenir la violation. L’entreprise a toutefois admis qu’une perte de données pourrait conduire à la publication en ligne des informations volées, car elle n’a pas payé de rançon.
Dragos a déclaré qu’elle avait choisi de révéler cette attaque pour « aider à déstigmatiser les événements de sécurité ». Les incidents de sécurité sont de plus en plus fréquents et aucune entreprise n’est à l’abri. Les attaquants ont évolué vers l’utilisation de stratégies sophistiquées et d’outils avancés pour mener leurs attaques, ce qui a exposé de nombreuses entreprises à en être victimes.
Toutefois, dans le cas de Dragos, l’entreprise a réagi rapidement face aux hackers et les dégâts ont été minimes. Ce n’est pas toujours le cas de la plupart des entreprises visées par ces piratages, qui peuvent entraîner des dommages considérables.
Cet incident contribuera à sensibiliser le public aux cyberattaques et à la manière dont les hackers à l’origine de ces attaques ciblent désormais le secteur de l’embauche afin d’obtenir un accès initial pour mener à bien leurs exploits. Il arrive aussi que des entreprises embauchent de faux employés dont le seul rôle est de voler et d’escroquer les employeurs. Certains faux employés sont également créés par des hackers pour percevoir des chèques de paie, tandis que certains demandeurs d’emploi sont escroqués dans le cadre de leur recherche d’emploi.
Les entreprises doivent se concentrer sur les mesures de réaction et d’atténuation interne en cas de piratage
Dragos mène actuellement une enquête sur cette violation. Toutefois, l’entreprise a déclaré qu’elle était parvenue à empêcher une attaque encore plus importante grâce à une réaction rapide et à un système de sécurité solide. Elle estime que sa réaction et ses mesures d’atténuation pourraient servir de modèle à d’autres entreprises.
L’entreprise a par ailleurs examiné les alertes sur son système de gestion des informations et des événements de sécurité (SIEM). Elle a aussi bloqué le compte compromis et activé un détaillant de réponse aux incidents. Elle a également fait appel à un fournisseur tiers de MDR pour prendre en charge les efforts de réponse à l’incident.
L’entreprise a en outre indiqué qu’elle avait pris des mesures pour éviter que des attaques similaires ne se reproduisent à l’avenir. Dragos a intégré une nouvelle étape de vérification pour rendre le processus d’intégration des nouveaux employés plus rigoureux afin de s’assurer que la technique utilisée par les hackers ne serait pas déployée à nouveau.
Dragos a aussi formulé des recommandations à l’intention d’autres organisations qui pourraient être la cible d’attaques similaires à l’avenir. L’entreprise a demandé la mise en place d’un système solide d’identification et d’accès à l’infrastructure et aux processus de gestion. Elle souhaite également adopter une séparation des tâches dans l’ensemble du secteur afin de garantir qu’aucune personne ne dispose d’un accès total à l’environnement.
Il a par ailleurs été conseillé aux organisations d’utiliser le principe du moindre privilège dans tous les systèmes et services et de mettre en œuvre une authentification multifactorielle lorsque cela s’avère nécessaire. L’entreprise a aussi appelé à l’utilisation de blocs explicites pour les mauvaises adresses IP et à la surveillance des courriels entrants pour tout signe d’hameçonnage, comme l’orthographe, l’URL et l’adresse électronique.
Les organisations doivent également s’assurer qu’elles continuent à surveiller leur sécurité en utilisant les manuels de réponse aux incidents testés en cas d’attaque.
