工控安全獨角獸Dragos遭勒索軟件攻擊
http://www.moduwu.com 2023-05-18 14:54 來源:CNCERT國家工程研究中心
總部位于美國馬里蘭州的網(wǎng)絡(luò)安全公司Dragos是全球工控安全市場首個獨角獸企業(yè),2021年Dragos完成2億美元D輪投資時估值超過20億美元。該公司專門保護生產(chǎn)天然氣、石油和化學品、采礦和生產(chǎn)線管理等工業(yè)企業(yè)的控制系統(tǒng),其安全服務(wù)覆蓋了美國70%的電網(wǎng)。
近日,在遭遇疑似勒索軟件攻擊后,工控安全公司Dragos發(fā)布安全公告,披露在5月8日發(fā)生“網(wǎng)絡(luò)安全事件”,聲稱一個已知的勒索軟件犯罪組織試圖破壞Dragos的安全防御系統(tǒng)并滲透到內(nèi)網(wǎng)加密設(shè)備。
Dragos表示其公司網(wǎng)絡(luò)和安全平臺在攻擊中并未遭到破壞,攻擊者的橫向移動、提權(quán)、加密、駐留等攻擊手段大多被Dragos的多層安全控制和基于角色的訪問控制挫敗了,但攻擊者成功入侵了該公司的SharePoint云服務(wù)和合同管理系統(tǒng)。
鑒于Dragos在關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)系統(tǒng)安全領(lǐng)域的重要地位,此次攻擊事件立刻成為業(yè)界觀摩的焦點,尤其是攻擊者的TTPs(技術(shù)、戰(zhàn)術(shù)、流程)和Dragos的事件響應(yīng)流程(下圖)。
攻擊者TTPs的MITRE ATT&CK映射
事件時間線
根據(jù)公告中提供的事件時間線,攻擊者通過新入職銷售員工之前泄露的個人電子郵件地址獲取訪問權(quán)限,隨后使用該員工個人信息冒充Dragos員工并完成員工入職流程中的初始步驟。
在入侵Dragos的SharePoint云平臺后,攻擊者下載了“一般用途數(shù)據(jù)”并訪問了25份通常僅供客戶使用的情報報告。
在攻擊者訪問員工帳戶的16小時內(nèi),由于基于角色的訪問控制(RBAC)規(guī)則,攻擊者嘗試訪問了多個Dragos系統(tǒng),包括消息傳遞、IT幫助臺、財務(wù)、提案請求(RFP)、員工識別和營銷系統(tǒng),但都以失敗告終。
由于未能在Dragos的內(nèi)部系統(tǒng)成功部署勒索軟件,攻擊發(fā)生11個小時后,攻擊者轉(zhuǎn)而以披露事件來勒索Dragos,他們向Dragos高管發(fā)送了一封勒索電子郵件(下圖),由于在法定工作時間以外發(fā)送,該消息在5小時后才被閱讀。
Dragos的網(wǎng)絡(luò)安全部門在獲悉勒索消息五分鐘后立刻禁用了被盜用的員工帳戶,撤銷了所有活動會話,并阻止網(wǎng)絡(luò)犯罪分子的基礎(chǔ)設(shè)施訪問公司資源。
“我們相信,我們的分層安全控制成功阻止了威脅行為者部署勒索軟件的主要目標,”Dragos在公告中指出:“我們阻止了攻擊者完成橫向移動、升級特權(quán)、建立持久訪問或?qū)A(chǔ)設(shè)施進行任何更改。”
值得注意的是,作為慣用TTP的一部分,該網(wǎng)絡(luò)犯罪集團不僅積極聯(lián)系Dragos的高管,還在對話中提及高管的家庭成員和聯(lián)系人。
顯然,攻擊者對目標公司高管的家庭成員也有“研究”,他們知道Dragos高管家庭成員的名字。此外,在攻擊期間,網(wǎng)絡(luò)犯罪分子還通過個人電子郵件聯(lián)系了Dragos的高管。
Dragos提供的IOC中列出的IP地址之一(144.202.42[.]216)之前被發(fā)現(xiàn)托管SystemBC惡意軟件和Cobalt Strike,勒索軟件團伙通常使用這兩種惡意軟件來遠程訪問受感染的系統(tǒng)。
Equinix的CTI研究員Will Thomas認為,SystemBC已被許多勒索軟件團伙使用,包括Conti、ViceSociety、BlackCat、Quantum、Zeppelin和Play,因此很難確定攻擊背后的威脅行為者。
Thomas指出,該IP地址也被用于最近的BlackBasta勒索軟件攻擊,這可能有助于縮小嫌疑人范圍。
對于此次勒索軟件攻擊,Dragos明確表示不會助長網(wǎng)絡(luò)犯罪,將不會支付贖金。
“雖然外部事件響應(yīng)公司和Dragos分析師認為事件得到了控制,但這是一項正在進行的調(diào)查。由于我們選擇不支付勒索贖金而丟失并可能公開的數(shù)據(jù)令人遺憾。”Dragos總結(jié)道。
Dragos就此事件分享的經(jīng)驗和建議如下:
- 加固IAM基礎(chǔ)架構(gòu)和流程
- 在整個企業(yè)中實施職責分離
- 將最小特權(quán)原則應(yīng)用于所有系統(tǒng)和服務(wù)
- 盡可能實施多因素身份驗證
- 對已知的錯誤IP地址應(yīng)用顯式阻止
- 仔細檢查傳入電子郵件中的典型網(wǎng)絡(luò)釣魚觸發(fā)器,包括電子郵件地址、URL和拼寫
- 通過經(jīng)過測試的事件響應(yīng)手冊確保持續(xù)的安全監(jiān)控到位
相關(guān)新聞
- ? IDC 2024年中國智能工控安全審計市場份額報告正式發(fā)布
- ? 破局增長壓力,AI或成增長新動能:IDC 2024年中國智能工控防火墻市場份額報告正式發(fā)布
- ? 智能化提速!工控安全市場規(guī)模2026年或超百億
- ? 需求釋放,增速喜人 IDC 2022年中國工控安全審計市場份額報告正式發(fā)布
- ? 龍頭廠商大漲114.37%,工業(yè)互聯(lián)網(wǎng)安全迎來風口?
- ? Forescout發(fā)布“冰瀑”報告 披露56個重大OT漏洞
- ? 中國工控安全行業(yè)崛起 四大國資再入股威努特
- ? 未來5年,全球工控安全市場規(guī)模或達223億美元
- ? 威努特全新移動存儲介質(zhì)管控方案及新品正式發(fā)布
- ? 威努特護航首臺(套)全國產(chǎn)智能監(jiān)控系統(tǒng)投運
編輯精選
- ? 賦能綠色智造 臺達與長三角制造企業(yè)探討智造新路徑
- ? 2025 年伺服電機行業(yè)產(chǎn)業(yè)布局深度解析
- ? HMS行業(yè)洞察:2025工業(yè)網(wǎng)絡(luò)市場全景解讀
- ? 總投資15億元!ABB超級工廠落子南京
- ? 構(gòu)筑工業(yè) AI 時代的數(shù)據(jù)底座,藍卓supOS X工廠操作系統(tǒng)全球首發(fā)
- ? CC-Link協(xié)議家族與會員單位集中亮相,共話行業(yè)新發(fā)展
- ? 2025 工業(yè)操作系統(tǒng)大會在蘇州隆重開幕
- ? 創(chuàng)新、落地、增效:施耐德電氣以AI賦能產(chǎn)業(yè)新生態(tài)
- ? 西門子2026 年數(shù)字化程度展望
- ? 國家統(tǒng)計局:11月工業(yè)機器人產(chǎn)量增長超20%
工控原創(chuàng)
- ? 統(tǒng)一以太網(wǎng)標準再迎里程碑,SPE 和 Ethernet-APL 解鎖工業(yè)數(shù)字化新機遇
- ? 11月RatingDog中國制造業(yè)PMI降至49.9,供需走弱重回收縮區(qū)間
- ? 11月工控圈發(fā)生了這些矚目的大事件
- ? 十月工控領(lǐng)域重要資訊,一睹為快!
- ? 回顧 | 以技術(shù)干貨 + 落地案例,解鎖產(chǎn)業(yè)升級新路徑
- ? ABB報告:工業(yè)停機每小時損失高達50萬美元,知行鴻溝阻礙現(xiàn)代化更新
- ? ABB宣布以53.75億美元將機器人業(yè)務(wù)出售給軟銀
- ? 九月不容錯過的工控圈大事
- ? 當“軟件定義”與“價值鏈”相遇,未來工業(yè)走向何方?
- ? 西門子:以“一次正確”破局內(nèi)卷,讓工業(yè)AI真正落地
