Το FBI προειδοποίησε ότι μια συμμορία εκβιασμού γνωστή ως Ομάδα Silent Ransom έχει στοχεύσει στις αμερικανικές δικηγορικές εταιρείες τα τελευταία δύο χρόνια σε επιθέσεις ηλεκτρονικού ψαρέματος και κοινωνικής μηχανικής.
Επίσης γνωστή ως Luna Moth, Chatty Spider και UNC3753, αυτή η ομάδα απειλών ήταν ενεργός από το 2022 και ήταν επίσης πίσω από τις εκστρατείες Bazarcall που παρείχαν αρχική πρόσβαση σε εταιρικά δίκτυα για επιθέσεις Ryuk και Conti Ransomware.
Τον Μάρτιο του 2022, μετά το κλείσιμο της Conti, οι απειλές που διαχωρίστηκαν από το συνδικάτο του κυβερνοχώρου και σχημάτισαν τη δική τους επιχείρηση που ονομάζεται Silent Ransom Group (SRG).
Σε πρόσφατες επιθέσεις, η SRG προωθεί την υποστήριξη των στόχων σε ηλεκτρονικό ταχυδρομείο, ψεύτικους ιστότοπους και τηλεφωνήματα χρησιμοποιώντας τακτικές κοινωνικής μηχανικής για να αποκτήσει πρόσβαση στα δίκτυα των στόχων.
Αυτή η ομάδα εκβιασμών δεν κρυπτογραφεί τα συστήματα των θυμάτων και είναι γνωστή για την απαίτηση λύτρας να μην διαρρεύσει ευαίσθητες πληροφορίες που κλαπούν από συμβιβασμένες συσκευές online.
“Η SRG θα κατευθύνει στη συνέχεια τον υπάλληλο να συμμετάσχει σε μια περίοδο απομακρυσμένης πρόσβασης, είτε μέσω ενός μηνύματος ηλεκτρονικού ταχυδρομείου που τους αποστέλλεται, είτε με πλοήγηση σε μια ιστοσελίδα. Μόλις ο εργαζόμενος χορηγήσει πρόσβαση στη συσκευή τους, τους λένε ότι η εργασία πρέπει να γίνει εν μία νυκτί”, το FBI είπε Σε ειδοποίηση ιδιωτικής βιομηχανίας την Παρασκευή.
“Μόλις στη συσκευή του θύματος, μια τυπική επίθεση SRG περιλαμβάνει ελάχιστη κλιμάκωση προνομίων και περιστρέφεται γρήγορα σε εξαίρεση δεδομένων που διεξάγεται μέσω του” Winscp “(Windows Secure Copy) ή μιας κρυμμένης ή μετονομασμένης έκδοσης του” RCLONE “.
Αφού κλέβουν τα δεδομένα των θυμάτων, τα εκτοξεύουν μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου, απειλώντας να πουλήσουν ή να δημοσιεύσουν τις πληροφορίες και θα καλέσουν επίσης τους υπαλλήλους των παραβιαζόμενων οργανισμών να τους πιέσουν σε διαπραγματεύσεις λύτρας. Ενώ έχουν έναν ειδικό ιστότοπο όπου διαρρέουν τα δεδομένα των θυμάτων τους, το FBI λέει ότι η συμμορία των εκβιασμών δεν ακολουθεί πάντοτε τις απειλές διαρροής των δεδομένων τους.
Για να υπερασπιστούν τις επιθέσεις τους, το FBI συμβουλεύει τη χρήση ισχυρών κωδικών πρόσβασης, επιτρέποντας τον έλεγχο ταυτότητας δύο παραγόντων για όλους τους εργαζομένους, κάνοντας τακτικά αντίγραφα ασφαλείας δεδομένων και διεξάγοντας εκπαίδευση προσωπικού για την ανίχνευση προσπαθειών ηλεκτρονικού “ψαρέματος”.
Η προειδοποίηση του FBI ακολουθεί μια πρόσφατη έκθεση ECLECTICIQ που περιγράφει λεπτομερώς τις επιθέσεις SRG που στοχεύουν στα νομικά και χρηματοπιστωτικά ιδρύματα στις Ηνωμένες Πολιτείες, με τους επιτιθέμενους να παρατηρούνται τομείς καταχώρησης για να “προσβληθούν από τις πύλες βοήθειας ή υποστήριξης για τις μεγάλες αμερικανικές εταιρείες και τις εταιρείες χρηματοπιστωτικών υπηρεσιών, χρησιμοποιώντας τυποποιημένα πρότυπα”.
Τα θύματα αποστέλλονται κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου με ψεύτικους αριθμούς βοήθειας, προτρέποντάς τους να καλέσουν για να επιλύσουν διάφορα ανύπαρκτα προβλήματα. Ωστόσο, οι φορείς εκμετάλλευσης της Luna Moth που υπονοούν το προσωπικό της από την άλλη άκρη, θα προσπαθήσουν να εξαπατήσουν τους υπαλλήλους των στοχευμένων εταιρειών για την εγκατάσταση λογισμικού απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) από ψεύτικες τοποθεσίες γραφείου IT.
Μόλις εγκατασταθεί και ξεκινήσει το εργαλείο RMM, οι ηθοποιοί απειλής αποκτούν πρόσβαση πληκτρολογίου, η οποία τους επιτρέπει να αναζητούν πολύτιμα έγγραφα σε συμβιβασμένες συσκευές και κοινόχρηστους οδηγούς που θα εξαντληθούν αργότερα χρησιμοποιώντας RCLONE (σύννεφο Syncing) ή WINSCP (μέσω SFTP).
Σύμφωνα με το Eclecticiq, τα Ransom απαιτούν που αποστέλλεται από την ομάδα Silent Ransom κυμαίνονται μεταξύ ενός και οκτώ εκατομμυρίων δολαρίων, ανάλογα με το μέγεθος της παραβιαζόμενης εταιρείας.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
