Мошенники, представляющиеся сотрудниками IT-поддержки по телефону или через интернет, годами обманом заставляют сотрудников загружать вредоносное ПО или переходить по вредоносным ссылкам. Однако, по данным ФБР, одна из группировок, нацеленная на американские юридические фирмы, недавно добилась успеха и при личном контакте: убедив фирмы пропустить в здание якобы сотрудника IT-поддержки, злоумышленник подключает к компьютеру жертвы накопитель, устанавливает вредоносное ПО или похищает данные.
Это стало известно из оперативного отчета ФБР на этой неделе, в котором описывается деятельность банды, которую ведомство называет The Silent Ransom Group (SRG). Другие исследователи называют ее Luna Moth, Chatty Spider и UNC3753.
Эксперты по кибербезопасности, впрочем, не удивлены, что сотрудников можно обманом заставить впустить незнакомца к своим компьютерам.
«Использование злоумышленником личного присутствия с каким-либо хакерским устройством на базе USB применяется десятилетиями, особенно в банковской сфере», — заявил Роджер Граймс, советник по вопросам информационной безопасности в KnowBe4.
«Обычно это не просто прямая загрузка данных, а использование USB-накопителя для мониторинга ввода паролей, установки программного обеспечения для удаленного доступа, которое хакер может использовать для возвращения в среду удаленно, или для установки какого-либо другого хакерского вредоносного ПО. Это настолько распространено в банковской отрасли, что они часто включают этот сценарий — физическую атаку — в свои регулярные аудиты тестирования на проникновение, чаще, чем любая другая отрасль».
Лэнс Шпицнер, директор по обучению кибербезопасности персонала в SANS Institute, отметил, что тактика проникновения в компанию для использования зараженных USB-накопителей не нова, но, по его мнению, относительно редка. Чаще злоумышленник отправляет накопитель сотруднику по почте.
«Физическое подвергание себя риску путем проникновения в организацию — это риск, на который большинство киберпреступников не готовы пойти», — сказал он. «Детали в отчете ФБР довольно скудны; я предполагаю, что если это произошло, злоумышленник заплатил кому-то, чтобы тот сделал это за него, возможно, инсайдеру или подрядчику, которому доверяла компания».
ФБР сообщает, что члены SRG занимаются операциями по краже данных и вымогательству как минимум с 2022 года. Несмотря на название, банда не использует шифрование с помощью программ-вымогателей, а обычно стремится к быстрому доступу к системам жертв для кражи данных. Затем они используют вымогательство, угрожая публичным раскрытием или продажей украденных данных, чтобы добиться выплат.
Исторически банда получала доступ к сети жертвы, рассылая фишинговые электронные письма с якобы взимаемой небольшой «платой за подписку»; чтобы отменить поддельную подписку, жертве предлагалось позвонить злоумышленнику, который затем отправлял жертве ссылку для загрузки программного обеспечения для удаленного доступа.
Новая тактика
Однако с весны этого года члены SRG добавили новую тактику: выдают себя за сотрудников IT-отдела жертвы. Они либо напрямую звонят, либо отправляют фишинговые письма с призывом связаться с членом SRG, выдающим себя за IT-поддержку их фирмы. Во время разговора по телефону злоумышленник SRG просит сотрудника предоставить доступ к сеансу удаленного рабочего стола.
Если это не удается, SRG направляет злоумышленника к жертве для физического доступа к ее компьютеру и подключения накопителя. Предлог: так называемый сотрудник IT-поддержки должен создать образ устройства или резервную копию для устранения потенциальных последствий фишингового письма. Как только злоумышленник получает доступ к устройству жертвы, он минимально повышает привилегии и быстро переходит к эксфильтрации данных без шифрования.
Их инструменты включают WinSCP (Windows Secure Copy) или скрытую или переименованную версию «Rclone» для эксфильтрации данных. Они также могут пересылать данные на внутренние платформы для совместного использования файлов, такие как Google Drive или Microsoft OneDrive. И как только у банды оказываются данные фирмы, она звонит сотрудникам или клиентам компании-жертвы, чтобы оказать давление на жертву и начать переговоры.
ФБР предупреждает специалистов по информационной безопасности о том, что индикаторами атаки SRG могут быть новые несанкционированные загрузки инструментов системного управления или удаленного доступа, включая Zoho Assist, Quick Assist, AnyDesk, RustDesk, Syncro, Splashtop или Atera; несанкционированная установка внешних жестких дисков или USB-накопителей на рабочие компьютеры; эксфильтрация данных в Microsoft OneDrive, Google Drive или на внешние серверы; подключение WinSCP или Rclone к внешнему IP-адресу; и оповещения об эксфильтрации данных из среды компании.
Главное, на что необходимо обучать сотрудников, — это настороженность в отношении визитов неустановленных или неавторизованных лиц, выдающих себя за IT-поддержку и пытающихся получить доступ к компьютерам, а также в отношении непрошеных телефонных звонков от лиц, ложно заявляющих о работе в их IT-отделе.
ФБР не ответило к моменту публикации на запрос о количестве случаев, когда банде удалось обманом заставить сотрудника разрешить личный визит. Но тактика SRG достаточно нова, чтобы бюро запрашивало копию письма с вымогательством, номер телефона или адрес электронной почты, используемый группой, стенограммы сообщений со злоумышленником, а также любые записи видеонаблюдения или фотографии лиц, выдающих себя за IT-поддержку.
Проблема обучения осведомленности в области безопасности
С самого начала эпохи настольных компьютеров руководители служб безопасности (CSO), ИТ-директора (CIO) и руководители IT-отделов пытаются найти эффективное обучение осведомленности в области безопасности для борьбы с фишингом, IT-мошенничеством и другими атаками социальной инженерии. Правоохранительные органы добились некоторого успеха в отключении банд, но они появляются снова.
Злоумышленникам также может способствовать тот факт, что сотрудники часто не знают, кто их сотрудники IT-поддержки, особенно если фирма пользуется услугами сторонней внешней компании поддержки.
[Связанный контент: Справочная информация об обучении осведомленности в области безопасности]
Кристофер Кайзер, глава канадской фирмы Cybercrime Analytics и автор книги Cybercrime Through Social Engineering, заявил в интервью, что часто первое предположение сотрудника состоит в том, что электронное письмо, текстовое сообщение или голосовое сообщение о серьезной проблеме от кого-то, представляющегося сотрудником IT, является подлинным.
После этого злоумышленники играют на готовности сотрудника действовать в отношении якобы срочного вопроса, его послушании руководству или желании быть полезным. «У нас есть склонность доверять», — сказал он.
Не помогает и то, что злоумышленники готовы делиться успешными тактиками с другими группами, добавил он. Также, по его словам, не помогает и то, что в некоторых организациях обучение осведомленности в области безопасности не распространяется на высшее руководство (генеральных директоров) или на персонал на передовой (секретарей).
Никому не доверяй
Чтобы противостоять мошенничеству с IT-поддержкой, сотрудников необходимо обучать тому, что любое электронное письмо, текстовое сообщение или голосовое сообщение, якобы исходящее от IT-отдела и требующее действий, должно быть проверено у IT-менеджера через утвержденный процесс, а не путем ответа на сообщение или звонка по номеру, указанному в подозрительном сообщении, сказал Кайзер. Сотрудников также необходимо обучать замедляться и не отвечать и не действовать быстро на электронные письма, текстовые сообщения или голосовые сообщения с запросом паролей, кодов многофакторной аутентификации или личной информации.
Шпицнер добавил: «Обучение осведомленности в области безопасности — это один из подходов к устранению уязвимостей в людях. Вы должны научить их рискам, связанным с зараженными или ненадежными USB-накопителями, и тому, какие накопители авторизованы. В данном случае проблема, возможно, заключалась в том, что ненадежное лицо получило доступ к объектам жертвы».
Ник Таусек, ведущий архитектор по автоматизации безопасности в Swimlane, отметил, что стратегия атак Silent Ransom Group, основанная на доверии, многое говорит о том, куда движется вымогательство. «Это делает ситуацию особенно опасной для юридических фирм», — сказал он. «В этих средах хранятся конфиденциальные записи клиентов, служебная переписка, финансовые данные и информация по делам. Если эти данные будут украдены, ущерб не ограничится организацией-жертвой. Клиенты могут подвергнуться давлению, могут быть раскрыты юридические стратегии, а сотрудники могут стать мишенями для последующих мошеннических схем».
Самое сложное в том, что большая часть этой активности поначалу может выглядеть нормально, сказал он. Поскольку легитимные инструменты, используемые злоумышленниками, не всегда вызывают срабатывание сигнализации, командам безопасности нужны более быстрые способы выявления необычного поведения среди пользователей, устройств, облачных хранилищ и сеансов удаленного доступа. «Когда злоумышленники действуют так быстро, задержка в обнаружении дает им преимущество», — отметил он.
Граймс добавил, что меры защиты должны включать строгое и частое обучение сотрудников по вопросам физических атак, отключение USB-портов на общедоступных компьютерах и другие меры по предотвращению подключения физических накопителей. Он указал, что Microsoft Windows имеет средства защиты от подключения неавторизованных накопителей, включая USB-накопители, уже более десяти лет.
Кроме того, ФБР настоятельно призывает руководителей служб физической безопасности и ИТ-безопасности проверять учетные данные всех лиц, получающих доступ к помещениям компании, получать копии удостоверений личности каждого посетителя, а также ограничивать доступ к конфиденциальным данным из менее защищенных сетей, таких как домашние компьютеры или общедоступный интернет, и разрабатывать и доводить до сведения сотрудников политики, определяющие, когда и как IT-поддержка должна связываться с сотрудниками и подтверждать свою личность.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
