В пятницу команды Google по кибербезопасности Mandiant и Google Threat Intelligence Group опубликовали новый отчет, в котором обвинили киберпреступную группировку, известную как Silent Ransom Group, в попытках кражи информации у жертв «с использованием физического доступа на месте» в ходе атак, проводившихся с января по май этого года и нацеленных на «десятки» жертв.
«Mandiant расследовала различные инциденты, в которых злоумышленники внедряли инсайдеров, подкупали сотрудников или физически проникали в здания для содействия кибератакам», — заявил технический директор Mandiant Чарльз Кармакал в заявлении для TechCrunch, добавив, что компания наблюдала применение этой тактики и в других случаях на протяжении многих лет.
В прошлом месяце ФБР опубликовало предупреждение о том, что Silent Ransom Group нацеливалась на юридические фирмы с помощью социальной инженерии и фишинговых атак, выдавая себя за сотрудников ИТ-поддержки. Однако в некоторых случаях группировка направляла фальшивых сотрудников ИТ-поддержки в офисы жертв, где те подключались к компьютерам сотрудников и использовали USB-накопители или инструменты удаленного доступа для кражи таких данных, как контракты, личная информация вроде номеров социального страхования, а также финансовая и налоговая отчетность.
Представитель ФБР сообщил TechCrunch: «Мы можем подтвердить, что видели многочисленные случаи, когда лица, выдававшие себя за сотрудников ИТ-поддержки, получали или пытались получить физический доступ на месте в офисы и/или к устройствам компаний-жертв в рамках схемы Silent Ransom Group по эксфильтрации данных».
В рамках тактики вымогательства, которая сейчас стала распространенной — и которая не предполагает фактического шифрования данных жертв, как при традиционных атаках программ-вымогателей, — у банды есть собственный сайт для утечек, где они угрожают жертвам публикацией украденных данных, а затем публикуют их, если жертва не платит.
Это часто происходит после того, как хакеры напрямую отправляют жертвам электронные письма с угрозами.
«В случае игнорирования или отсутствия согласия мы уведомим ваших сотрудников, партнеров и клиентов, после чего опубликуем ваши данные», — написали хакеры одной из жертв, по данным Google.
Согласно отчету Google, хакеры также используют более традиционные методы, такие как фишинговые электронные письма, последующие телефонные звонки и социальная инженерия. Киберпреступники выдают себя за ИТ-поддержку компании, чтобы обманом заставить жертв предоставить доступ к своим компьютерам.
«Звонящие используют различные устные инструкции для управления поведением цели. Под предлогом устранения проблемы безопасности или помощи в проекте миграции корпоративных данных они завоевывают доверие и направляют цель на подключение к сеансу совместного использования экрана», — написали исследователи Google. Затем хакеры обходят меры безопасности, убеждая жертв загрузить и открыть приложения для совместного использования экрана или используя функции совместного использования экрана в таких приложениях, как Zoom или Microsoft Teams.
Хотя в большинстве случаев хакеры крадут данные удаленно с помощью вредоносного ПО или фишинговых атак, эти случаи показывают, что некоторые хакеры теперь готовы пойти на шаг дальше, смешивая традиционные методы взлома с физическим проникновением, что является новым и значительным обострением ситуации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
