Google и ФБР предупреждают о группе вымогателей, которая посылает фальшивых IT-специалистов для личной встречи с жертвами хакерских атак.

По данным Google и ФБР, группа злоумышленников, занимающаяся вымогательством, активизировала свои атаки на юридические фирмы, иногда отправляя в офисы жертв фальшивых IT-специалистов, которые крадут данные непосредственно с компьютеров жертв с помощью USB-накопителей или помогают другим членам группировки удаленно подключаться к компьютерам.

В пятницу подразделения Google по кибербезопасности Mandiant и Google Threat Intelligence Group опубликовали новый отчет, в котором обвиняют киберпреступную группировку, известную как Silent Ransom Group, в попытке украсть информацию жертв «с использованием физического доступа» в ходе атак, совершенных с января по май этого года и направленных против «десятков» жертв.

«Компания Mandiant расследовала различные случаи, когда злоумышленники внедряли своих агентов, подкупали сотрудников или физически проникали в здания для осуществления кибератак», — заявил технический директор Mandiant Чарльз Кармакал в заявлении для TechCrunch, добавив, что компания сталкивалась с подобной тактикой и в других случаях на протяжении многих лет.

В прошлом месяце ФБР опубликовало предупреждение о том, что группа «Silent Ransom Group» атаковала юридические фирмы с помощью методов социальной инженерии и фишинга, выдавая себя за сотрудников ИТ-поддержки. Однако в некоторых случаях группа отправляла фальшивых сотрудников ИТ-поддержки в офисы жертв, где они подключались к компьютерам сотрудников и использовали USB-накопители или инструменты удаленного доступа для кражи данных, таких как контракты, личная информация, например, номера социального страхования, а также финансовые и налоговые документы.

Представитель ФБР сообщил TechCrunch: «Мы можем подтвердить, что зафиксировали многочисленные случаи, когда лица, выдающие себя за сотрудников ИТ-поддержки, получали или пытались получить физический доступ в офисы и/или к устройствам компаний-жертв в рамках плана Silent Ransom Group по похищению данных».

В рамках распространенной тактики вымогательства — которая, в отличие от традиционных атак программ-вымогателей, не предполагает фактического шифрования данных жертв — у этой группировки есть собственный сайт для утечек данных, где она угрожает жертвам публикацией украденных данных, а затем публикует их, если жертва не заплатит.

Связаться с нами

У вас есть дополнительная информация об этих хакерских атаках? Или о других утечках данных? Мы будем рады получить от вас информацию. С любого устройства и сети, не связанных с работой, вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по номеру +1 917 257 1382, или через Telegram и Keybase @lorenzofb, или по электронной почте.

Это часто происходит после того, как хакеры отправляют жертвам электронные письма с угрозами.

«В случае незнания или отсутствия соглашения мы уведомим ваших сотрудников, партнеров и клиентов, после чего опубликуем ваши данные», — написали хакеры одной из жертв, как сообщает Google.

Согласно отчету Google, хакеры также используют более традиционные методы, такие как фишинговые электронные письма, последующие телефонные звонки и социальная инженерия. Киберпреступники выдают себя за сотрудников ИТ-поддержки компании, чтобы обманом заставить жертв предоставить доступ к их компьютерам.

«Звонившие используют различные словесные инструкции, чтобы направлять поведение жертвы. Под видом решения проблемы безопасности или помощи в проекте миграции корпоративных данных они завоевывают доверие и направляют жертву к участию в сеансе демонстрации экрана», — написали исследователи Google. Затем хакеры обходят средства защиты, убеждая жертв загрузить и открыть приложения для демонстрации экрана или используя функции демонстрации экрана в таких приложениях, как Zoom или Microsoft Teams.

Хотя в большинстве случаев хакеры крадут данные удаленно с помощью вредоносного ПО или фишинговых атак, эти случаи показывают, что некоторые хакеры теперь готовы пойти еще дальше, сочетая традиционные методы взлома с физическим проникновением, что представляет собой новый и значительный шаг вперед.

Источник: techcrunch.com