La société de cybersécurité industrielle fait le récit de sa réaction à la compromission d’un compte d’un nouvel employé, et aux demandes d’extorsion qui ont suivi

La société de cybersécurité industrielle Dragos a détaillé, le 8 mai 2023, une cyberattaque doublée d’une tentative d’extorsion qu’elle a réussi à repousser, en protégeant l’accès à ses SI. « Nous voulons partager cette expérience avec la communauté, décrire comment nous avons évité que la situation ne s’aggrave et, nous l’espérons, contribuer à vulgariser les événements liés à la sécurité », indique la société.

Les cybercriminels avaient compromis l’adresse électronique d’un employé de Dragos, récemment embauché mais pas encore entré en fonction. En utilisant des informations personnelles qu’ils avaient collectées sur cet employé, ils ont pu se faire passer pour lui, et valider son intégration en ligne. Ils ont alors pu accéder « aux ressources qu’un nouvel employé commercial utilise habituellement dans SharePoint et dans le système de gestion des contrats de Dragos », précise la société.

Le Security Information & Event Management (SIEM) de Dragos a rapidement alerté sur un dysfonctionnement dans la gestion des accès. La société a alors immédiatement bloqué le compte compromis et déclenché le protocole d’intervention en cas d’incident de son prestataire de cybersécurité.

« Nous sommes convaincus que nos contrôles de sécurité à plusieurs niveaux ont empêché l’acteur de la menace d’atteindre ce que nous pensons être son objectif principal, à savoir lancer un ransomware. Il a également été empêché d’effectuer un mouvement latéral, de gravir les privilèges, d’établir un accès persistant ou d’apporter des modifications à l’infrastructure », se félicite Dragos.

Le groupe cybercriminel a alors changé de stratégie et a tenté d’extorquer de l’argent à Dragos. Il a d’abord menacé plusieurs cadres dirigeants de rendre publiques des données dérobées. Devant l’absence de réponse, il a prétendu posséder des informations personnelles sur des membres de la famille de plusieurs employés de Dragos.

Le groupe cybercriminel avait en fait associé des données en libre accès sur Internet à des adresses mail pour la plupart fictives. Dragos est resté sur sa ligne de conduite : aucun employé n’est rentré en contact avec les cybercriminels.

La société de cybersécurité s’excuse par ailleurs de la probable divulgation des données volées, malgré leur faible criticité. Dragos continue d’enquêter sur cette intrusion et a déjà ajouté une étape de vérification d’identité dans son processus de validation d’un compte employé.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.