- 27,097
- 46
- 8 Ноя 2022
Новая схема хакеров Luna Moth, которая ставит в тупик стандартные средства защиты.
Федеральное бюро расследований США предупредило о новой тактике группировки Silent Ransom Group, также известной как Luna Moth , Chatty Spider и UNC3753. Злоумышленники начали выдавать себя за сотрудников ИТ-службы и даже приезжать в офисы компаний, чтобы лично подключиться к компьютерам жертв и украсть данные. Основной целью кампании стали американские юридические фирмы.
Ведомство сообщает, что группировка действует как минимум с 2022 года, но в последние месяцы изменила подход. Если раньше Silent Ransom Group рассылала письма с фальшивыми подписками и просила жертв позвонить, чтобы «отменить платёж», то теперь злоумышленники представляются внутренней технической поддержкой компании. Сотрудникам звонят напрямую или отправляют письма с просьбой срочно связаться с «ИТ-отделом». Во время разговора мошенники убеждают пользователя открыть удалённый доступ к компьютеру.
В некоторых случаях схема заходит ещё дальше. Если удалённое подключение не удаётся, участник группировки приезжает в офис компании под видом специалиста техподдержки. Посетитель убеждает сотрудников подключить внешний накопитель или флешку якобы чтобы создать резервную копию или проверить систему после фишингового письма. Получив доступ, злоумышленники быстро копируют данные и почти не пытаются закрепиться в системе.
Чтобы красть файлы, Silent Ransom Group использует легальные инструменты вроде WinSCP и Rclone, а также облачные сервисы Google Drive и Microsoft OneDrive. Похищенные данные группировка применяет для шантажа, угрожая публикацией или продажей информации. Дополнительное давление оказывают звонки сотрудникам и клиентам пострадавших компаний с сообщениями об утечке. Чтобы публиковать украденные файлы, злоумышленники используют сайт business-data-leaks[.]com.
Федеральное бюро расследований отмечает, что атаки Silent Ransom Group сложно заметить стандартными средствами защиты, поскольку группировка использует обычные программы удалённого администрирования. Среди признаков взлома ведомство называет неожиданно установленные AnyDesk , RustDesk, Splashtop, Atera и другие подобные инструменты, подключённые внешние накопители, данные, переданные во внешние облачные сервисы, и звонки от неизвестных людей, представляющихся сотрудниками ИТ-службы.
Чтобы защитить организации, Федеральное бюро расследований советует проверять личности всех посетителей, ограничивать удалённый доступ к конфиденциальным данным, обучать сотрудников распознавать фишинг и использовать многофакторную аутентификацию. Ведомство также рекомендует отключить возможность подключать внешние накопители на компьютерах с доступом к конфиденциальной информации.
Федеральное бюро расследований США предупредило о новой тактике группировки Silent Ransom Group, также известной как Luna Moth , Chatty Spider и UNC3753. Злоумышленники начали выдавать себя за сотрудников ИТ-службы и даже приезжать в офисы компаний, чтобы лично подключиться к компьютерам жертв и украсть данные. Основной целью кампании стали американские юридические фирмы.
Ведомство сообщает, что группировка действует как минимум с 2022 года, но в последние месяцы изменила подход. Если раньше Silent Ransom Group рассылала письма с фальшивыми подписками и просила жертв позвонить, чтобы «отменить платёж», то теперь злоумышленники представляются внутренней технической поддержкой компании. Сотрудникам звонят напрямую или отправляют письма с просьбой срочно связаться с «ИТ-отделом». Во время разговора мошенники убеждают пользователя открыть удалённый доступ к компьютеру.
В некоторых случаях схема заходит ещё дальше. Если удалённое подключение не удаётся, участник группировки приезжает в офис компании под видом специалиста техподдержки. Посетитель убеждает сотрудников подключить внешний накопитель или флешку якобы чтобы создать резервную копию или проверить систему после фишингового письма. Получив доступ, злоумышленники быстро копируют данные и почти не пытаются закрепиться в системе.
Чтобы красть файлы, Silent Ransom Group использует легальные инструменты вроде WinSCP и Rclone, а также облачные сервисы Google Drive и Microsoft OneDrive. Похищенные данные группировка применяет для шантажа, угрожая публикацией или продажей информации. Дополнительное давление оказывают звонки сотрудникам и клиентам пострадавших компаний с сообщениями об утечке. Чтобы публиковать украденные файлы, злоумышленники используют сайт business-data-leaks[.]com.
Федеральное бюро расследований отмечает, что атаки Silent Ransom Group сложно заметить стандартными средствами защиты, поскольку группировка использует обычные программы удалённого администрирования. Среди признаков взлома ведомство называет неожиданно установленные AnyDesk , RustDesk, Splashtop, Atera и другие подобные инструменты, подключённые внешние накопители, данные, переданные во внешние облачные сервисы, и звонки от неизвестных людей, представляющихся сотрудниками ИТ-службы.
Чтобы защитить организации, Федеральное бюро расследований советует проверять личности всех посетителей, ограничивать удалённый доступ к конфиденциальным данным, обучать сотрудников распознавать фишинг и использовать многофакторную аутентификацию. Ведомство также рекомендует отключить возможность подключать внешние накопители на компьютерах с доступом к конфиденциальной информации.
- Источник новости
- www.securitylab.ru
