Финансово мотивираният извършител, известен като UNC3944, се насочва към внедряване на ransomware като част от разширяване на стратегиите си за печелене на пари, разкри Mandiant.
„UNC3944 демонстрира по-силен фокус върху кражбата на големи количества чувствителни данни с цел изнудване и изглежда разбира западните бизнес практики, вероятно поради географския състав на групата“, заяви фирмата за разузнаване на заплахи.
„UNC3944 също така последователно разчита на публично достъпни инструменти и легитимен софтуер в комбинация със зловреден софтуер, който може да бъде закупен от подземни форуми.“
Групата, известна още с имената 0ktapus, Scatter Swine и Scattered Spider, е активна от началото на 2022 г., като използва телефонно социално инженерство и SMS-базиран фишинг, за да получи валидни идентификационни данни на служителите с помощта на фалшиви страници за влизане и да проникне в организациите жертви, отразявайки тактиката, възприета от друга група, наречена LAPSUS$.
Макар че първоначално групата се е фокусирала върху телекомуникационни компании и компании за аутсорсинг на бизнес процеси (BPO), впоследствие тя е разширила целевите си действия, включвайки хотелиерство, търговия на дребно, медии и развлечения и финансови услуги, което е показателно за нарастващата им сила.
Основна отличителна черта на хакерите от заплахата е, че те са известни с това, че използват идентификационните данни на жертвата, за да се представят за служител при обаждания до бюрото за обслужване на организацията в опит да получат кодове за многофакторна автентикация (MFA) и/или възстановяване на пароли.
Струва си да се отбележи, че по-рано този месец Okta предупреди клиентите си за същите атаки, при които бандата за електронни престъпления се обажда на бюрата за помощ на ИТ на жертвите, за да заблуди служителите по поддръжката да нулират кодовете за MFA на служителите с високи привилегии, което им позволява да получат достъп до тези ценни акаунти.
В един от случаите се твърди, че служител е инсталирал зловредния софтуер RECORDSTEALER чрез фалшиво изтегляне на софтуер, което впоследствие е улеснило кражбата на удостоверения. Измамните страници за вписване, разработени с помощта на фишинг комплекти като EIGHTBAIT и други, са в състояние да изпратят заловените идентификационни данни към контролиран от бандата канал в Telegram и да разгърнат AnyDesk.
Наблюдавани са също така случаи на използване от противника на различни инструменти за кражба на информация (например Atomic, ULTRAKNOT или Meduza и Vidar) abd credential theft tools (например MicroBurst), за да получи привилегирован достъп, необходим за постигане на целите му и за разширяване на операциите му.
Част от дейността на UNC3944 включва използването на търговски домашни прокси услуги за достъп до техните жертви, за да избегнат откриването и легитимния софтуер за отдалечен достъп, както и провеждането на широкомащабно разузнаване на директории и мрежи, за да се подпомогне ескалирането на привилегиите и поддържането на устойчивост.
Заслужава да се отбележи и злоупотребата с облачните ресурси на организацията-жертва за хостване на злонамерени програми за деактивиране на защитна стена и софтуер за сигурност и доставянето им на други крайни точки, което подчертава развиващите се умения на хакерската група.
Последните констатации идват в момент, когато групата се изявява като филиал на екипа на BlackCat (известен още като ALPHV или Noberus) ransomware, възползвайки се от новопридобития си статут, за да пробие MGM Resorts и да разпространи зловредния софтуер, криптиращ файлове.
„Участниците в заплахата действат с изключително високо оперативно темпо, като получават достъп до критични системи и ексфилтрират големи обеми данни в рамките на няколко дни“, посочва Mandiant.
„При разгръщането на ransomware престъпниците изглежда се насочват специално към критични за бизнеса виртуални машини и други системи, вероятно в опит да увеличат максимално въздействието върху жертвата.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.