Hardware
Η νέα απειλή του 3AM ransomware: επιθέσεις με ψεύτικες κλήσεις IT και email bombing
Η νέα απειλή του 3AM ransomware συνδυάζει ψεύτικες κλήσεις IT και email bombing για να παρακάμψει τις άμυνες δικτύου.
Η στρατηγική των επιθέσεων του 3AM ransomware
Μια πρόσφατη καμπάνια των επιτιθέμενων του 3AM ransomware έφερε στο φως μια νέα προσέγγιση που συνδυάζει την τεχνολογία με την κοινωνική μηχανική. Αντί για απλές ευκαιριακές επιθέσεις, οι δράστες υποδύονται την υποστήριξη IT, χρησιμοποιώντας μια συνδυαστική μέθοδο που περιλαμβάνει email bombing και ψεύτικες κλήσεις IT. Αυτές οι τεχνικές επέτρεψαν στους επιτιθέμενους να αποκτήσουν πρόσβαση σε τερματικά υπαλλήλων, και κατ’ επέκταση, στα εταιρικά συστήματα.
Η μεθοδολογία της επίθεσης
Η Sophos, μια ηγετική εταιρεία στον τομέα της κυβερνοασφάλειας, παρακολουθεί στενά πολλούς ransomware επιτιθέμενους που χρησιμοποιούν μια στρατηγική που παρατηρήθηκε πρώτη φορά από τη Microsoft τον Μάιο του 2024. Η στρατηγική αυτή ξεκινά με email bombing—υπερφόρτωση του στόχου με ανεπιθύμητα emails—και ακολουθείται από φωνητική ή βιντεοκλήση, συχνά μέσω Microsoft Teams, όπου οι επιτιθέμενοι προσποιούνται την τεχνική υποστήριξη για να αποκτήσουν απομακρυσμένη πρόσβαση.
Η περίπτωση του 3AM ransomware
Σε ένα πρόσφατο περιστατικό που αφορούσε την ομάδα 3AM ransomware, οι εγκληματίες χρησιμοποίησαν την τεχνική αυτή με επιτυχία. Υποδύθηκαν το τμήμα IT του οργανισμού-θύματος, προσθέτοντας ένα επίπεδο αυθεντικότητας στην εξαπάτησή τους. Η αρχική παραβίαση επιτεύχθηκε πείθοντας έναν υπάλληλο, εν μέσω καταιγισμού spam emails, να παραχωρήσει απομακρυσμένη πρόσβαση μέσω του Microsoft Quick Assist, ένα εργαλείο των Windows που είναι προεγκατεστημένο σε πολλά συστήματα.
Η καινοτομία της επίθεσης
Η πραγματική καινοτομία της επίθεσης αυτής έγκειται στο τι ανέπτυξαν οι επιτιθέμενοι στη συνέχεια: μια προ-ρυθμισμένη εικονική μηχανή Windows 7, που εκκινήθηκε μέσω του Qemu emulator, απευθείας στον παραβιασμένο υπολογιστή. Αυτή η εικονική μηχανή, που έτρεχε ένα trojan QDoor, χρησίμευσε ως κρυφή βάση, επιτρέποντας στους επιτιθέμενους να εδραιώσουν έλεγχο και να αποφύγουν σε μεγάλο βαθμό τα λογισμικά προστασίας δικτύου.
Η ταυτότητα των επιτιθέμενων
Περαιτέρω έρευνα από τη Sophos αποκάλυψε ότι η ομάδα 3AM ransomware είναι μια ανανέωση της BlackSuit/Royal ransomware, με δεσμούς με την διαβόητη ομάδα Conti. Διαρροές από συνομιλίες της BlackBasta δείχνουν συζητήσεις για τα σενάρια και τις τεχνικές vishing που χρησιμοποιούνται σε αυτές τις επιθέσεις, υποδεικνύοντας ένα κοινό, εξελισσόμενο εγχειρίδιο μεταξύ αυτών των εγκληματικών συνδικάτων.
Η ανάγκη για ενισχυμένη κυβερνοασφάλεια
Παρά το γεγονός ότι η επίθεση ransomware αποτράπηκε σε μεγάλο βαθμό χάρη στις άμυνες δικτύου της Sophos του στοχοποιημένου οργανισμού, αυτές οι περιπτώσεις υπογραμμίζουν την ανάγκη για προληπτικά μέτρα κυβερνοασφάλειας. Οι οργανισμοί πρέπει να διεξάγουν περισσότερη εκπαίδευση ευαισθητοποίησης των υπαλλήλων για την αντιμετώπιση των επιθέσεων vishing, εκπαιδεύοντας το προσωπικό σε διαδικασίες επαφής με το IT και εργαλεία απομακρυσμένης υποστήριξης. Πρέπει επίσης να προτεραιοποιηθούν πιο λεπτομερείς έλεγχοι πολιτικών λογαριασμών και διαδικασιών, καθώς και η ενίσχυση των ελέγχων απομακρυσμένης πρόσβασης.
