0
0
Pode-se argumentar que as empresas de segurança devem estar mais preparadas do que a maioria das organizações para se defender contra um ataque cibernético. Esse foi o caso da Dragos recentemente, quando um conhecido grupo de ransomware tentou, mas não conseguiu, extorquir dinheiro do fornecedor de segurança em um ataque de engenharia social que ocorreu depois que ele comprometeu a conta de e-mail pessoal de um novo funcionário.
O ataque ocorreu em 8 de maio, com os invasores obtendo acesso ao SharePoint e ao sistema de gerenciamento de contratos da Dragos comprometendo o endereço de e-mail pessoal de um novo funcionário de vendas antes da data de início da pessoa, revelou a empresa em um post no blog em 10 de maio. O invasor então usou informações pessoais roubadas do hack para se passar pelo funcionário e realizar as etapas iniciais do processo de integração de funcionários da Dragos.
A resposta rápida da Dragos impediu que o grupo de ameaças atingisse seu objetivo – a implantação de ransomware – ou se envolvesse em outras atividades, como movimentação lateral, aumento de privilégios, estabelecimento de acesso persistente ou alterações em qualquer infraestrutura da Dragos, disse a empresa.
“Nenhum sistema Dragos foi violado, incluindo qualquer coisa relacionada à Plataforma Dragos”, de acordo com a postagem.
No entanto, os atacantes não pararam por aí. Uma vez que a estratégia inicial de comprometimento e ransomware do grupo não foi bem-sucedida, ele rapidamente “se transformou em tentar extorquir Dragos para evitar a divulgação pública”, disse a empresa. Os atacantes fizeram isso enviando uma enxurrada de mensagens aos executivos da Dragos que ameaçavam revelar o ataque publicamente se não fossem pagos.
Em uma reviravolta assustadora, o grupo chegou a ficar pessoal nas mensagens, fazendo referências aos familiares e contatos pessoais dos funcionários da Dragos, além de enviar e-mails para as contas pessoais de funcionários seniores da Dragos para obter uma resposta.
A empresa acabou decidindo que “a melhor resposta era não se envolver com os criminosos” e conseguiu conter o incidente, de acordo com a postagem.
Ainda assim, Dragos reconheceu uma perda de dados que provavelmente resultará em um vazamento público de informações porque a empresa optou por não pagar um resgate, o que é “lamentável”. No entanto, a empresa mantém sua decisão de não se envolver ou negociar com cibercriminosos, disse.
Promovendo a Transparência Cibernética
Não é sempre que as empresas de segurança revelam ataques que sofrem, mas Dragos disse que decidiu fazê-lo como um exemplo de como desarmar uma violação de segurança antes que cause danos significativos. Além disso, queria “ajudar a desestigmatizar eventos de segurança”, escreveu a empresa no post.
De fato, como os incidentes de segurança provaram repetidamente, nenhuma empresa – nem mesmo aquelas que parecem firmemente bloqueadas – está a salvo de ataques, especialmente com o nível atual de inteligência e sofisticação dos invasores ao usar táticas de engenharia social, de acordo com um especialista em segurança.
Na verdade, a narrativa de Dragos “é uma das raras histórias em que você ouve sobre uma tentativa de engenharia social verdadeiramente trabalhada e uma descoberta rápida que levou a danos mínimos”, escreveu Roger Grimes, evangelista de defesa orientado por dados da empresa de segurança KnowBe4, em um comunicado enviado por e-mail.
O incidente deve levar à conscientização sobre “os golpes de engenharia social muito ativos que estão acontecendo no espaço de contratação”, em particular, escreveu ele. Na verdade, nem toda empresa tem tanta sorte, nem se defende tão bem, observou Grimes.
“Há também muitas histórias de empregadores contratando funcionários falsos que existiam apenas para roubar e enganar seu empregador, funcionários falsos que realmente não sabiam seu emprego e apenas coletavam contracheques até serem demitidos, e golpes ao contrário onde candidatos legítimos a emprego eram enganados enquanto procuravam emprego”, diz ele.
Resposta & A mitigação interna é fundamental durante um ataque cibernético
Enquanto uma investigação sobre o incidente está em andamento, Dragos conseguiu evitar um ataque mais sério devido à resposta rápida e uma abordagem de segurança em camadas da empresa, que deve fornecer um plano para outros, de acordo com o post.
A empresa investigou alertas em seu SIEM (Enterprise Security Information and Event Management, gerenciamento de eventos e informações de segurança corporativa) e bloqueou a conta comprometida, bem como ativou seu retentor de resposta a incidentes com um provedor de serviços e contratou um provedor terceirizado de monitoramento, detecção e resposta (MDR) para gerenciar os esforços de resposta a incidentes.
“Os registros detalhados de atividade do sistema permitiram a rápida triagem e contenção deste evento de segurança”, disse a empresa.
Para evitar ataques semelhantes no futuro, a empresa disse que adicionou uma etapa de verificação adicional para fortalecer ainda mais seu processo de integração de novos funcionários para garantir que a técnica usada no ataque não se repita.
Além disso, como cada tentativa frustrada de acesso foi devido à aprovação de acesso em várias etapas, a Dragos também está avaliando a expansão dessa estratégia para outros sistemas com base em quão críticos eles são.
Conselhos de resiliência cibernética para outras organizações
Dragos também fez algumas recomendações para outras organizações para ajudar a evitar um cenário de ataque semelhante. A empresa aconselhou que o fortalecimento da infraestrutura e dos processos de gerenciamento de identidade e acesso é, em última análise, um pilar básico para todas as organizações que procuram resiliência cibernética. E é uma boa ideia implementar a separação de tarefas em toda a empresa para que nenhuma pessoa tenha o funcionamento completo do ambiente.
As organizações também devem aplicar o princípio do menor privilégio a todos os sistemas e serviços e implementar a autenticação multifator sempre que possível, disse a empresa.
Outras medidas para evitar um comprometimento semelhante ao sofrido por Dragos incluem a aplicação de bloqueios explícitos para endereços IP incorretos conhecidos e a verificação de e-mails recebidos em busca de gatilhos de phishing típicos, incluindo o endereço de e-mail, URL e ortografia.
Por fim, as organizações em geral devem garantir que o monitoramento contínuo de segurança esteja em vigor, com playbooks de resposta a incidentes testados prontos para o caso de um ataque ocorrer, de acordo com Dragos.
FONTE: DARK READING