Google та ФБР попереджають про особливу групу програм-вимагачів

За даними Google та ФБР, банда зловмисників посилила свої атаки на юридичні фірми, іноді особисто надсилаючи фальшивих ІТ-фахівців до офісів жертв, де самозванці крадуть дані безпосередньо з комп'ютерів жертв за допомогою USB-накопичувачів або допомагають іншим членам банди підключатися до комп'ютерів віддалено. 

команди Google з кібербезпеки Mandiant та Google Threat Intelligence Group опублікували новий звіт , у якому звинувачують кіберзлочинне угруповання, відому як Silent Ransom Group, у спробі викрасти інформацію жертв, «використовуючи фізичний, особистий доступ», під час атак з січня по травень цього року, спрямованих на «десятки» жертв. 

«Mandiant розслідувала різні справи, коли зловмисники вводили інсайдерів, підкуповували співробітників або фізично проникали в будівлі для сприяння кібератак», – заявив TechCrunch головний технічний директор Mandiant Чарльз Кармакал, додавши, що компанія також спостерігала використання цієї тактики в інших випадках протягом багатьох років. 

Минулого місяця ФБР опублікувало попередження про те, що Silent Ransom Group здійснювала атаки соціальної інженерії та фішингу на юридичні фірми, видаючи себе за співробітників ІТ-служби. Але в деяких випадках група відправляла фальшивих співробітників ІТ-служби до офісів жертв, де вони підключалися до комп'ютерів співробітників та використовували USB-накопичувачі або інструменти віддаленого доступу для крадіжки даних, таких як контракти, особиста інформація, така як номери соціального страхування, а також фінансові та податкові документи. 

Речник ФБР заявив TechCrunch: «Ми можемо підтвердити, що бачили численні випадки, коли особи, які видають себе за ІТ-підтримку, отримали або намагалися отримати фізичний особистий доступ до офісів та/або пристроїв компаній-жертв у рамках схеми Silent Ransom Group з вилучення даних».

У рамках поширеної нині тактики вимагання, яка не передбачає фактичного шифрування даних жертв, як у традиційних атаках програм-вимагачів, угруповання має власний сайт витоку інформації, де воно погрожує жертвам опублікувати їхні вкрадені дані, а потім публікує їх, якщо жертва не заплатить.

Часто це трапляється після того, як хакери надсилають жертвам електронні листи з погрозами. «У разі незнання або відсутності згоди ми повідомимо ваших співробітників, партнерів та клієнтів, після чого опублікуємо ваші дані», – написали хакери одній із жертв, повідомляє Google. 

Згідно зі звітом Google, хакери також використовують більш традиційні методи, такі як фішингові електронні листи, подальші телефонні дзвінки та соціальну інженерію. Кіберзлочинці видають себе за ІТ-підтримку компанії, щоб обманом змусити жертв надати доступ до їхніх комп’ютерів. 

«Абоненти використовують різноманітні усні інструкції для керування поведінкою цільової групи. Під виглядом вирішення проблеми безпеки або допомоги в проекті міграції корпоративних даних вони будують довіру та спрямовують цільову групу до сеансу спільного використання екрана», – пишуть дослідники Google. Потім хакери обходять засоби контролю безпеки, переконуючи жертв завантажувати та відкривати програми для спільного використання екрана або використовуючи функції спільного використання екрана в таких програмах, як Zoom або Microsoft Teams. 

Хоча хакери здебільшого крадуть дані дистанційно за допомогою шкідливого програмного забезпечення або фішингових атак, ці випадки показують, що деякі хакери тепер готові піти ще далі у своїх злочинах, поєднуючи традиційні методи злому з фізичними вторгненнями, що є новою та значною ескалацією.