master1305 - stock.adobe.com

Dragos, spécialiste de la cybersécurité industrielle, a repoussé une cyberattaque

Dragos a publié un billet de blog racontant, dans les grandes lignes, la cyberattaque lancée – sans grand succès – contre son système d’information, ce lundi 8 mai.

Dragos Inc. a révélé une cyberattaque au cours de laquelle un acteur menaçant a obtenu certaines données de l'entreprise. Le spécialiste de la cybersécurité des systèmes industriels (OT/ICS) a toutefois déclaré avoir empêché des tentatives d'infiltration de son réseau qui auraient probablement abouti à une attaque avec ransomware.

Dans un billet de blog publié mercredi, Dragos a révélé avoir répondu à une attaque, ce lundi 8 mai, au cours de laquelle un acteur malveillant affilié à un groupe cybercriminel connu avait tenté en vain d'extorquer des fonds à l'entreprise. Bien que Dragos n'ait pas nommé la franchise concernée, il a fourni une chronologie, le vecteur d'attaque initial et une série de messages d'extorsion alarmants. Certains marqueurs techniques fournissent des pistes sur la franchise impliquée.

Selon le billet de blog, l'acteur de la menace a obtenu des « données à usage général » au sein de ressources pour l'embauche de nouveaux commerciaux. Lorsque les dirigeants de Dragos ont ignoré les demandes de paiement envoyées par SMS, les attaquants ont contacté des membres de leurs famille et de nombreux contacts de Dragos connus du public. Ils ont également contacté des employés seniors de Dragos par le biais de courriels personnels.

Dragos indique n’avoir pas communiqué avec les attaquants, malgré l'escalade. Le fait de cibler des personnes qui ne sont pas des employés, en particulier des membres de la famille, est une tactique d'extorsion de plus en plus utilisée par les groupes cybercriminels pour pousser les victimes à céder.

« L'une des tactiques, techniques et procédures (TTP) connues de ce groupe criminel consiste à déployer des ransomwares. Après avoir échoué à prendre le contrôle d'un système de Dragos et à déployer un rançongiciel, ils se sont tournés vers une tentative d'extorsion de Dragos pour éviter une divulgation publique », écrit Dragos dans son blog. 

Et d’ajouter que « les textes des cybercriminels montrent qu'ils ont fait des recherches sur des détails familiaux puisqu'ils connaissaient les noms des membres des familles des dirigeants de Dragos, ce qui est une TTP connue. Cependant, ils ont fait référence à des adresses électroniques fictives pour ces membres de familles ».

Dragos a fourni des captures d'écran expurgées d'un grand nombre de messages textuels. Elles montrent que les attaquants ont mentionné la CISA et ont fait référence à l’outil de déchiffrement lié à la campagne REvil/Kaseya obtenu par le FBI. L'un des messages disait : « ils ne se soucient pas de vous ou de votre organisation. Soyez comme les centaines d'entreprises qui ont traité avec nous de manière appropriée ». Un autre message contenait même une photo, soulignant l'étendue des recherches conduites par les attaquants.

Dragos a déterminé que l'objectif principal de l'attaque était de déclencher un ransomware et assure que ses contrôles de sécurité à plusieurs niveaux ont réussi à empêcher cette étape de l'attaque. Les journaux d'activité détaillés de Dragos, qui ont permis un triage et un confinement rapides, ont également constitué un facteur déterminant.

Le billet de blog souligne qu'aucun système n'a été compromis, y compris tout ce qui est lié à la plateforme Dragos. Il semble toutefois que des données aient été affectées et une enquête est en cours : « les données perdues et susceptibles d'être rendues publiques parce que nous avons choisi de ne pas payer l'extorsion sont regrettables ».

Cinétique d’attaque

L'attaque contre Dragos a commencé après que l'acteur de la menace a compromis le compte de messagerie personnel d'un nouvel employé aux ventes. La compromission est survenue avant la date d'entrée en fonction de l'employé. 

L’attaquant a profité de cet accès pour se faire passer pour l'employé au cours des étapes initiales du processus d'intégration. Il a dès lors pu accéder à l'instance SharePoint de Dragos, ainsi qu'à son système de gestion des contrats. Des mécanismes de contrôle d’accès basés sur les rôles (Role Based Access Control, RBAC) ont empêché l’assaillant d’aller plus avant. 

Dragos a bloqué le compte compromis après avoir enquêté sur les alertes de système de gestion des informations et des événements de sécurité (https://www.lemagit.fr/definition/SIEM). Par la suite, des services de réponse aux incidents et de MDR externalisés ont été mis en œuvre. 

Le billet de blog ne mentionne pas si les forces de l'ordre ont été contactées, mais il souligne les leçons que Dragos a tirées de l'affaire.

Tout d'abord, pour éviter le même vecteur d'attaque, le fournisseur a mis en œuvre des étapes de vérification supplémentaires pour renforcer la sécurité de son processus d'intégration. Dragos a indiqué qu'il pourrait également étendre l'approbation d'accès en plusieurs étapes pour protéger les systèmes critiques.

Le billet blog recommande également aux entreprises de renforcer les infrastructures de gestion des identités et des accès, d'appliquer le principe du moindre privilège à tous les systèmes et services, et de bloquer explicitement les mauvaises adresses IP connues. La surveillance continue à l'aide de plans de réponse aux incidents testés est également encouragée.

Malgré les menaces d'extorsion à l'encontre de non-employés, Dragos a déclaré avoir connu une issue positive qui l'a confortée dans sa décision de ne pas dialoguer ou négocier avec les cybercriminels. 

Pour approfondir sur Menaces, Ransomwares, DDoS