La firma de ciberseguridad Dragos ha sido atacada por un actor de amenazas cuyo objetivo aparentemente era implementar ransomware (se abre en una pestaña nueva) y extorsionar a la empresa.
El intento fracasó y Dragos compartió los detalles de lo sucedido, con la esperanza de ayudar a otras empresas que podrían encontrarse en una situación similar en el futuro.
en una entrada de blog (se abre en una pestaña nueva), Dragos informó que un actor de amenazas logró acceder a los sistemas de la empresa a través de una cuenta de correo electrónico previamente comprometida perteneciente a un miembro del personal recién contratado. Usaron el acceso para hacerse pasar por el nuevo empleado y acceder a los recursos «usados típicamente» por los nuevos empleados de ventas, en SharePoint y el sistema de gestión de contactos de Dragos. También lograron obtener un informe con las direcciones IP asociadas con un cliente, lo que llevó a Dragos a comunicarse con ese cliente de inmediato.
Robo «lamentable»
La compañía cree que detectó al atacante a tiempo y evitó que causara daños importantes.
“Confiamos en que nuestros controles de seguridad en capas impidieron que el actor de amenazas lograra lo que creemos que es su objetivo principal de lanzar ransomware”, se lee en el blog. “También se les impidió realizar un movimiento lateral, aumentar los privilegios, establecer un acceso persistente o realizar cambios en la infraestructura”.
Sin embargo, eso no impidió que los atacantes intentaran extorsionar a la empresa por los datos que habían tomado. Poco después, se comunicaron con los ejecutivos de la empresa a través de WhatsApp y amenazaron con divulgar datos confidenciales a la web oscura. “TENEMOS TODO”, dice uno de los mensajes.
Como la empresa no se inmutó, los atacantes recurrieron a mencionar a miembros de la familia, además de comunicarse con otros contactos de Dragos para intentar desencadenar una respuesta.
“Si bien la firma de respuesta a incidentes externos y los analistas de Dragos sienten que el evento está contenido, esta es una investigación en curso”, afirma el blog. “Es lamentable la información que se perdió y que probablemente se hará pública porque optamos por no pagar la extorsión. Sin embargo, esperamos que resaltar los métodos del adversario ayude a otros a considerar defensas adicionales contra estos enfoques para que no se conviertan en víctimas de esfuerzos similares”.