工业网络安全公司 Dragos 透露，2023 年 5 月 8 日，一个勒索软件组织试图破坏其基础设施并勒索它，安全团队禁用了受感染的帐户并将攻击者拒之门外。

攻击者是如何入侵的？

据该公司公布的一份时间表，黑客仅用了 16 个多小时就成功访问了一些数据，其中包括通常向付费客户提供的 25 份 Dragos 情报报告和一个合同管理系统。

 Dragos 分享的攻击时间表

此外，攻击者还从该公司的 SharePoint 下载了通用数据，并向公司高管发送电子邮件，威胁说如果该公司拒绝支付勒索要求，将公布被盗数据。

黑客试图渗透 Dragos 基础设施的其他几个部分，例如 IT 服务台以及财务和营销系统、员工识别系统和 “销售线索”。

网络犯罪分子在新销售员工入职日期之前泄露了他 / 她的个人电子邮件地址，并使用获得的个人信息冒充 Dragos 员工并完成员工入职流程的初始步骤。

该公司表示，由于基于角色的访问控制规则，黑客访问失败。Dragos 调查了公司安全信息和事件管理 (SIEM) 中的警报，并阻止了受感染的帐户。攻击者没有完成横向移动、提升权限、建立持久访问或对基础架构进行任何更改。

 勒索失败转向短信威胁 

有趣的是，网络犯罪集团未能部署勒索软件，然后转向试图勒索公司以避免公开披露。 该组织向 Dragos 高管发送了各种信息和勒索电子邮件，但该公司拒接与犯罪分子取得联系。

据 Dragos 称，当 Dragos 没有回应勒索要求时，黑客开始将目标对准高管及其家人以及与公司有关的其他人。其中一条信息写道：“他们不关心你或你的组织。就像数百家与我们打交道的公司一样。”

Dragos 对此次攻击的公开回应以及该公司的透明度赢得了专家的赞扬。国土安全部前助理部长布莱恩・哈雷尔 (Brain Harrell) 表示，“虽然对客户没有影响，但这是一个关于如何隔离、减轻、恢复和披露的明确例子。”

 黑客疑似窃取了 130GB 的数据 

值得一提的是，在 Dragos 的博客文章发布后的周三，在线恶意软件存储库 vx-undergound 在 Twitter 上发布的 Telegram 频道的屏幕截图似乎是针对 Dragos 的攻击者，但尚未得到证实。

该频道的所有者表示，该事件并非勒索软件攻击。犯罪黑客称 Dragos 通过支付敲诈勒索要求该公司 “试图严重淡化事件”，“而不是达成解决方案”。

疑似黑客还声称，这起事件不是勒索软件攻击，并表示他们可以访问从 Dragos 网络窃取的超过 130GB 的数据。到目前为止，还没有任何证据表明该说法属实。

虽然外部事件响应公司和 Dragos 分析师认为事件已得到控制，但这是一项正在进行的调查。由于他们选择不支付勒索而丢失并可能被公开的数据令人遗憾。