Група зловмисників, що займається програмами-вимагачами, посилила атаки на юридичні фірми, інколи надсилаючи до офісів жертв фейкових працівників ІТ-підтримки. Саме там самозванці безпосередньо копіюють дані з комп’ютерів за допомогою USB-накопичувачів або допомагають іншим учасникам угруповання під’єднатися до цих комп’ютерів віддалено, повідомляють Google та ФБР.
У п’ятницю підрозділи Google з кібербезпеки — Mandiant та Google Threat Intelligence Group — опублікували новий звіт, у якому звинувачують кіберзлочинне угруповання Silent Ransom Group у спробах викрадення даних жертв «із використанням фізичного, особистого доступу» під час атак з січня по травень цього року, що були спрямовані проти «десятків» жертв.
«Mandiant розслідувала низку інцидентів, у яких зловмисники впроваджували інсайдерів, підкуповували співробітників або фізично проникали до будівель, аби полегшити кібератаки», — заявив у коментарі для TechCrunch технічний директор Mandiant Чарльз Кармакал, додавши, що компанія спостерігала цю тактику і в інших випадках протягом останніх років.
Минулого місяця ФБР опублікувало попередження, в якому заявило, що Silent Ransom Group націлюється на юридичні фірми за допомогою соціальної інженерії та фішингових атак, прикидаючись співробітниками ІТ-підтримки. Але в окремих випадках група відправляла до офісів жертв підставних «фахівців підтримки», які під’єднувалися до комп’ютерів співробітників і використовували USB-накопичувачі або засоби віддаленого доступу для викрадення таких даних, як контракти, персональна інформація (зокрема номери соцстрахування) та фінансові й податкові документи.
Представник ФБР повідомив TechCrunch: «Ми можемо підтвердити, що спостерігали кілька випадків, коли особи, що видавали себе за ІТ-підтримку, отримували або намагалися отримати фізичний особистий доступ до офісів та/або пристроїв компаній-жертв у рамках схеми Silent Ransom Group з ексфільтрації даних».
У межах вже доволі поширеної тактики вимагання — яка не передбачає фактичного шифрування даних жертви, як у традиційних атаках із програмами-вимагачами, — угруповання має власний сайт-злив, де погрожує оприлюднити викрадену інформацію, а потім дійсно публікує її, якщо жертва не заплатить.
Часто це відбувається після того, як хакери надсилають жертвам прямі листи з погрозами.
«У разі ігнорування або відсутності домовленості ми повідомимо ваших співробітників, партнерів і клієнтів, після чого опублікуємо ваші дані», — написали хакери одній із жертв, згідно з даними Google.
За даними звіту Google, хакери також використовують більш традиційні методи, зокрема фішингові листи, подальші телефонні дзвінки та прийоми соціальної інженерії. Кіберзлочинці прикидаються працівниками ІТ-підтримки компанії, щоб обманом змусити жертв надати доступ до їхніх комп’ютерів.
«Телефонні співрозмовники використовують різноманітні словесні інструкції, щоб керувати поведінкою цілі. Під виглядом вирішення проблеми безпеки або допомоги з корпоративною міграцією даних вони вибудовують довіру і спрямовують жертву приєднатися до сеансу спільного доступу до екрана», — пишуть дослідники Google. Потім хакери обходять засоби захисту, переконуючи жертв завантажити й запустити застосунки для спільного доступу до екрана або використовуючи відповідні функції в застосунках на кшталт Zoom чи Microsoft Teams.
Хоча здебільшого зловмисники викрадають дані віддалено — через шкідливе ПЗ або фішинг, ці випадки показують, що окремі хакери готові зайти ще далі, поєднуючи традиційні техніки злому з фізичним проникненням. Це є новим і суттєвим ескалаційним кроком у їхній діяльності.