Dragos, spécialiste de la cybersécurité industrielle, a repoussé une cyberattaque

Dragos Inc. a révélé une cyberattaque au cours de laquelle un acteur menaçant a obtenu certaines données de l'entreprise. Le spécialiste de la cybersécurité des systèmes industriels (OT/ICS) a toutefois déclaré avoir empêché des tentatives d'infiltration de son réseau qui auraient probablement abouti à une attaque avec ransomware.

Dans un billet de blog publié mercredi, Dragos a révélé avoir répondu à une attaque, ce lundi 8 mai, au cours de laquelle un acteur malveillant affilié à un groupe cybercriminel connu avait tenté en vain d'extorquer des fonds à l'entreprise. Bien que Dragos n'ait pas nommé la franchise concernée, il a fourni une chronologie, le vecteur d'attaque initial et une série de messages d'extorsion alarmants. Certains marqueurs techniques fournissent des pistes sur la franchise impliquée.

Selon le billet de blog, l'acteur de la menace a obtenu des « données à usage général » au sein de ressources pour l'embauche de nouveaux commerciaux. Lorsque les dirigeants de Dragos ont ignoré les demandes de paiement envoyées par SMS, les attaquants ont contacté des membres de leurs famille et de nombreux contacts de Dragos connus du public. Ils ont également contacté des employés seniors de Dragos par le biais de courriels personnels.

Dragos indique n’avoir pas communiqué avec les attaquants, malgré l'escalade. Le fait de cibler des personnes qui ne sont pas des employés, en particulier des membres de la famille, est une tactique d'extorsion de plus en plus utilisée par les groupes cybercriminels pour pousser les victimes à céder.

« L'une des tactiques, techniques et procédures (TTP) connues de ce groupe criminel consiste à déployer des ransomwares. Après avoir échoué à prendre le contrôle d'un système de Dragos et à déployer un rançongiciel, ils se sont tournés vers une tentative d'extorsion de Dragos pour éviter une divulgation publique », écrit Dragos dans son blog. 

Et d’ajouter que « les textes des cybercriminels montrent qu'ils ont fait des recherches sur des détails familiaux puisqu'ils connaissaient les noms des membres des familles des dirigeants de Dragos, ce qui est une TTP connue. Cependant, ils ont fait référence à des adresses électroniques fictives pour ces membres de familles ».

Dragos a fourni des captures d'écran expurgées d'un grand nombre de messages textuels. Elles montrent que les attaquants ont mentionné la CISA et ont fait référence à l’outil de déchiffrement lié à la campagne REvil/Kaseya obtenu par le FBI. L'un des messages disait : « ils ne se soucient pas de vous ou de votre organisation. Soyez comme les centaines d'entreprises qui ont traité avec nous de manière appropriée ». Un autre message contenait même une photo, soulignant l'étendue des recherches conduites par les attaquants.

Dragos a déterminé que l'objectif principal de l'attaque était de déclencher un ransomware et assure que ses contrôles de sécurité à plusieurs niveaux ont réussi à empêcher cette étape de l'attaque. Les journaux d'activité détaillés de Dragos, qui ont permis un triage et un confinement rapides, ont également constitué un facteur déterminant.

Le billet de blog souligne qu'aucun système n'a été compromis, y compris tout ce qui est lié à la plateforme Dragos. Il semble toutefois que des données aient été affectées et une enquête est en cours : « les données perdues et susceptibles d'être rendues publiques parce que nous avons choisi de ne pas payer l'extorsion sont regrettables ».