Σύμφωνα με μια νέα έκθεση της Mandiant, μια hacking ομάδα γνωστή ως UNC3944, στρέφεται προς την ανάπτυξη ransomware, επεκτείνοντας τις στρατηγικές της για δημιουργία εσόδων. Αξίζει να σημειωθεί ότι πρόκειται για μια ομάδα η οποία στοχεύει κατά βάση στο κέρδος (οικονομικά κίνητρα).
“Η UNC3944 έχει δείξει μεγαλύτερη εστίαση στην κλοπή μεγάλων ποσοτήτων ευαίσθητων δεδομένων για σκοπούς εκβιασμού και φαίνεται να κατανοεί τις δυτικές επιχειρηματικές πρακτικές, πιθανώς λόγω της γεωγραφικής σύνθεσης της ομάδας“, ανέφερε η εταιρεία.
“Η UNC3944 έχει βασιστεί σε δημόσια διαθέσιμα εργαλεία και νόμιμο λογισμικό σε συνδυασμό με κακόβουλο λογισμικό, που είναι διαθέσιμο για αγορά σε underground forums“.
Η ομάδα είναι γνωστή και ως 0ktapus, Scatter Swine και Scattered Spider. Δραστηριοποιείται από τις αρχές του 2022. Χρησιμοποιεί κυρίως social engineering μέσω τηλεφώνου και SMS phishing για την απόκτηση έγκυρων credentials εργαζομένων. Οι hackers δημιουργούν ψεύτικες σελίδες σύνδεσης, και μέσω των παραπάνω τεχνικών, πείθουν τα θύματα να εισαγάγουν τα credentials τους σε αυτές τις σελίδες.
Δείτε επίσης: TikTok: Deepfake video του Elon Musk προωθούν ψεύτικα crypto giveaways
Αρχικά, η ομάδα στόχευε κυρίως εταιρείες τηλεπικοινωνιών και business process outsourcing (BPO). Ωστόσο, πιο πρόσφατα, εντοπίστηκαν επιθέσεις σε εταιρείες που ασχολούνται με τη φιλοξενία, το λιανικό εμπόριο, τα μέσα ενημέρωσης και την ψυχαγωγία και τις χρηματοοικονομικές υπηρεσίες.
Ένα βασικό χαρακτηριστικό του τρόπου επίθεσης αυτής της ομάδας είναι η χρήση των credentials ενός θύματος για να πλαστοπροσωπήσουν τον υπάλληλο και να επικοινωνήσουν με το γραφείο εξυπηρέτησης της εταιρείας-στόχου. Οι απατεώνες προσπαθούν να πείσουν τον υπάλληλο εξυπηρέτησης να αποκαλύψει κωδικούς ταυτότητας πολλαπλών παραγόντων (MFA) ή να επαναφέρει κωδικούς πρόσβασης.
Αξίζει να σημειωθεί ότι η Okta προειδοποίησε πρόσφατα τους πελάτες της για παρόμοιες επιθέσεις. Οι hackers καλούν τα IT help desks των θυμάτων για να ξεγελάσουν το προσωπικό ώστε να επαναφέρουν τους κωδικούς MFA για υπαλλήλους με υψηλά προνόμια. Έτσι, οι επιτιθέμενοι αποκτούν πρόσβαση σε αυτούς τους πολύτιμους λογαριασμούς.
Σε μια περίπτωση, ένας υπάλληλος λέγεται ότι εγκατέστησε το κακόβουλο λογισμικό RECORDSTEALER μέσω μιας ψεύτικης λήψης λογισμικού, η οποία στη συνέχεια διευκόλυνε την κλοπή credentials. Οι ψεύτικες σελίδες σύνδεσης, που έχουν σχεδιαστεί με χρήση phishing kits, είναι σε θέση να στείλουν τα credentials στους επιτιθέμενους και να αναπτύξουν το AnyDesk.
Η hacking ομάδα UNC3944 χρησιμοποιεί, επίσης, μια ποικιλία malware κλοπής πληροφοριών (π.χ. Atomic, ULTRAKNOT ή Meduza και Vidar) και εργαλεία κλοπής credentials (π.χ. MicroBurst) για να αποκτήσει την προνομιακή πρόσβαση που απαιτείται για την επίτευξη των στόχων της.
Δείτε επίσης: BlackCat ransomware: Κρυπτογραφεί το Azure Storage με Sphynx
Επιπλέον, η UNC3944 χρησιμοποιεί εμπορικές residential proxy υπηρεσίες για την απόκτηση πρόσβασης και την αποφυγή εντοπισμού.
Αξιοσημείωτη είναι και η κατάχρηση των πόρων cloud του οργανισμού-θύματος για τη φιλοξενία κακόβουλων βοηθητικών προγραμμάτων, για την απενεργοποίηση του firewall και του λογισμικού ασφαλείας κλπ.
Τα τελευταία ευρήματα έρχονται καθώς η ομάδα φαίνεται να συνδέεται ως affiliate με το ransomware BlackCat (γνωστό και ως ALPHV ή Noberus).
Σύμφωνα με τη Mandiant, οι hackers είναι πολύ δραστήριοι τον τελευταίο καιρό και καταφέρνουν να αποκτούν πρόσβαση σε κρίσιμα συστήματα και να κλέβουν σημαντικά δεδομένα σε λίγες μόλις ημέρες.
“Κατά την ανάπτυξη ransomware, οι φορείς απειλών φαίνεται να στοχεύουν virtual machines και άλλα κρίσιμα συστήματα για τις επιχειρήσεις, πιθανότατα σε μια προσπάθεια να μεγιστοποιήσουν τον αντίκτυπο στο θύμα”.
Δείτε επίσης: Information stealers RedLine και Vidar: Τι τεχνικές χρησιμοποιούν;
Οι hackers της UNC3944 επιδεικνύουν αξιόλογη εξειδίκευση και δεξιοτεχνία στην παραβίαση συστημάτων ασφαλείας και την απόκτηση ευαίσθητων δεδομένων. Χρησιμοποιώντας εκπληκτικά ποικίλα μέσα, από social engineering, phishing και αναπτυσσόμενο malware, έως την εκμετάλλευση εργαλείων κλοπής credentials και την κατάχρηση διαθέσιμων πόρων cloud, επιτυγχάνουν πρόσβαση σε κρίσιμα συστήματα. Η δυνατότητά τους να προσαρμόζονται γρήγορα σε νέες τεχνικές και τεχνολογίες καθιστά την UNC3944 μια από τις πιο επικίνδυνες απειλές στο κυβερνοχώρο σήμερα.
Πηγή: thehackernews.com