Министерството на здравеопазването и човешките ресурси на САЩ (HHS) предупреждава, че хакерите вече използват тактики за социално инженерство, за да атакуват ИТ бюрата за помощ в сектора на здравеопазването и общественото здраве (HPH).
В предупреждението за сектора, издадено от Координационния център за киберсигурност в здравния сектор (HC3) тази седмица, се казва, че тези тактики са позволили на нападателите да получат достъп до системите на целевите организации, като регистрират свои собствени устройства за многофакторна автентикация (MFA).
При тези атаки заплахите използват местен код, за да се обаждат на организации, представяйки се за служители във финансовия отдел, и предоставят откраднати данни за проверка на самоличността, включително корпоративни идентификационни номера и номера на социални осигуровки.
Използвайки тази чувствителна информация и твърдейки, че смартфонът им е счупен, те убеждават ИТ отдела за помощ да регистрира ново устройство в MFA под контрола на нападателя.
Това им дава достъп до корпоративни ресурси и им позволява да пренасочват банкови трансакции при атаки за компрометиране на бизнес електронна поща.
„Извършителят на заплахата се е насочил конкретно към информация за вход, свързана с уебсайтове на платежни институции, където след това е подал формуляр за извършване на ACH промени за сметките на платежни институции“, казва HC3.
„След като са получили достъп до имейл акаунтите на служителите, те са изпращали инструкции на обработващите плащанията да пренасочат законните плащания към контролирани от нападателя американски банкови сметки.“
„След това средствата са били прехвърляни към сметки в чужбина. По време на злонамерената кампания атакуващият регистрирал и домейн с еднобуквен вариант на целевата организация и създал акаунт, представящ се за главния финансов директор (CFO) на целевата организация.“
При подобни инциденти нападателите могат да използват и инструменти за клониране на глас с изкуствен интелект, за да заблудят целите, като затруднят проверката на самоличността от разстояние. Понастоящем това е много популярна тактика, като според неотдавнашно глобално проучване 25% от хората са се сблъсквали с измама, свързана с имитация на глас с изкуствен интелект, или познават някой, който се е сблъсквал с нея.
Тактиките, описани в предупреждението на Министерството на здравеопазването, са много сходни с тези, използвани от групата за заплахи Scattered Spider (известна още като UNC3944 и 0ktapus), която също използва фишинг, MFA bombing (известен още като MFA fatigue) и SIM swapping, за да получи първоначален достъп до мрежата.
Тази банда за киберпрестъпления често се представя за ИТ служители, за да измами персонала за обслужване на клиенти да им предостави идентификационни данни или да стартира инструменти за отдалечен достъп, за да пробие мрежите на целите.
Наскоро хакери от групата Scattered Spider криптираха системите на MGM Resorts, използвайки рансъмуер BlackCat/ALPHV. Те са известни и с кампанията 0ktapus, в която се насочиха към над 130 организации, включително Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games и Best Buy.
През ноември ФБР и CISA издадоха консултация, за да подчертаят тактиките, техниките и процедурите (TTP) на Scattered Spider в отговор на техните атаки за кражба на данни и ransomware срещу дълга поредица от високопоставени компании.
HC3 обаче твърди, че подобни инциденти в здравния сектор, за които е съобщено досега, все още не са приписани на конкретна група за заплахи.
За да блокират атаките, насочени към техните ИТ помощни бюра, организациите в здравния сектор се съветват да:
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.