- 27,375
- 46
- 8 Ноя 2022
В новой тактике вымогателей от первого контакта до кражи данных проходит менее часа.
Американские юридические фирмы столкнулись с необычной волной атак, в которых злоумышленники добиваются доступа к данным не через вредоносные программы, а с помощью обычных телефонных звонков. По данным специалистов Mandiant, группировка UNC3753 всего за несколько месяцев атаковала десятки организаций в юридической, финансовой и профессиональной сферах США, а в некоторых случаях преступники даже лично приходили в офисы жертв.
Кампания продолжалась с января по май 2026 года. Основная цель UNC3753 – не шифровать системы, а похищать конфиденциальную информацию и вымогать выкуп. Среди похищенных данных оказываются юридические документы, финансовые отчёты, персональные сведения клиентов и корпоративные соглашения.
Атака обычно начинается с безобидного письма от обычного почтового ящика. Сообщение выглядит как обсуждение счёта или накладной и не содержит ссылок либо вложений. После такого письма сотруднику звонят люди, представляющиеся работниками внутренней службы поддержки компании. Под предлогом решения проблемы безопасности или участия в проекте по переносу данных они убеждают жертву подключиться к сеансу демонстрации экрана.
Установив доверие, злоумышленники просят запустить программы удалённого доступа или средства совместной работы, включая Zoom, Microsoft Teams, Quick Assist и другие популярные сервисы. В ряде случаев сотрудники самостоятельно устанавливали программы удалённого администрирования AnyDesk, Bomgar или Zoho Assist, фактически открывая злоумышленникам дверь во внутреннюю сеть компании.
Специалисты отмечают высокую скорость действий UNC3753. Во многих расследованных инцидентах путь от первого контакта до кражи данных занимал всего несколько часов. В некоторых случаях преступники начинали искать нужные документы и готовить архивы для вывода менее чем через час после получения доступа.
Получив контроль над системой, злоумышленники изучают корпоративные файловые хранилища, сетевые каталоги и облачные папки. Особый интерес вызывают налоговые документы, договоры с клиентами, отчёты аудита, номера социального страхования и другие чувствительные сведения. Найденные файлы собирают в отдельные каталоги, после чего выгружают на подконтрольные облачные сервисы или пересылают через электронную почту.
Чтобы обойти средства защиты, преступники используют как браузерные загрузки файлов, так и специальные инструменты передачи данных вроде WinSCP и Rclone. В одном из случаев злоумышленники вывели более 16 ГБ информации, используя сначала облачное хранилище, а затем удалённый рабочий стол компании.
После завершения кражи начинается этап вымогательства. Письмо с требованиями обычно приходит в течение получаса после завершения операции. Компании дают три дня на начало переговоров. Если руководство не отвечает, преступники угрожают связаться с сотрудниками, клиентами и партнёрами организации, а также опубликовать украденные материалы на сайте LEAKEDDATA.
Особую тревогу у специалистов вызвали случаи, когда атаки выходили за пределы цифрового пространства. По данным Mandiant и Федерального бюро расследований США, люди, выдававшие себя за технических специалистов, приходили непосредственно в офисы компаний. Под предлогом проверки оборудования или создания резервных копий они пытались подключить внешние накопители и скопировать данные напрямую с рабочих компьютеров.
Mandiant связывает кампанию с группировкой UNC3753, также известной под названиями Luna Moth , Chatty Spider и Silent Ransom Group. Активность группы отслеживается как минимум с 2022 года. Ранее злоумышленники использовали поддельные уведомления о продлении подписок на программное обеспечение, однако примерно с марта 2025 года начали всё чаще выдавать себя за сотрудников внутренних ИТ-служб.
Специалисты предупреждают, что юридические фирмы остаются особенно привлекательной целью для вымогателей из-за огромного объёма конфиденциальной информации о клиентах, сделках, судебных процессах и корпоративной деятельности. Авторы отчёта считают, что применение телефонного мошенничества в сочетании с личными визитами демонстрирует новую стадию развития подобных атак, где главной мишенью становятся не технологии, а доверие сотрудников.
В мае ФБР опубликовало предупреждение о том, что группировка Silent Ransom Group нацеливалась на юридические фирмы с помощью социальной инженерии и фишинговых атак , выдавая себя за сотрудников ИТ-поддержки. В некоторых случаях злоумышленники отправляли поддельных сотрудников ИТ в офисы жертв, где те подключались к компьютерам сотрудников и с помощью USB-накопителей или инструментов удалённого доступа похищали данные, включая контракты, персональные сведения – такие как номера социального страхования – а также финансовые и налоговые документы.
Американские юридические фирмы столкнулись с необычной волной атак, в которых злоумышленники добиваются доступа к данным не через вредоносные программы, а с помощью обычных телефонных звонков. По данным специалистов Mandiant, группировка UNC3753 всего за несколько месяцев атаковала десятки организаций в юридической, финансовой и профессиональной сферах США, а в некоторых случаях преступники даже лично приходили в офисы жертв.
Кампания продолжалась с января по май 2026 года. Основная цель UNC3753 – не шифровать системы, а похищать конфиденциальную информацию и вымогать выкуп. Среди похищенных данных оказываются юридические документы, финансовые отчёты, персональные сведения клиентов и корпоративные соглашения.
Атака обычно начинается с безобидного письма от обычного почтового ящика. Сообщение выглядит как обсуждение счёта или накладной и не содержит ссылок либо вложений. После такого письма сотруднику звонят люди, представляющиеся работниками внутренней службы поддержки компании. Под предлогом решения проблемы безопасности или участия в проекте по переносу данных они убеждают жертву подключиться к сеансу демонстрации экрана.
Установив доверие, злоумышленники просят запустить программы удалённого доступа или средства совместной работы, включая Zoom, Microsoft Teams, Quick Assist и другие популярные сервисы. В ряде случаев сотрудники самостоятельно устанавливали программы удалённого администрирования AnyDesk, Bomgar или Zoho Assist, фактически открывая злоумышленникам дверь во внутреннюю сеть компании.
Специалисты отмечают высокую скорость действий UNC3753. Во многих расследованных инцидентах путь от первого контакта до кражи данных занимал всего несколько часов. В некоторых случаях преступники начинали искать нужные документы и готовить архивы для вывода менее чем через час после получения доступа.
Получив контроль над системой, злоумышленники изучают корпоративные файловые хранилища, сетевые каталоги и облачные папки. Особый интерес вызывают налоговые документы, договоры с клиентами, отчёты аудита, номера социального страхования и другие чувствительные сведения. Найденные файлы собирают в отдельные каталоги, после чего выгружают на подконтрольные облачные сервисы или пересылают через электронную почту.
Чтобы обойти средства защиты, преступники используют как браузерные загрузки файлов, так и специальные инструменты передачи данных вроде WinSCP и Rclone. В одном из случаев злоумышленники вывели более 16 ГБ информации, используя сначала облачное хранилище, а затем удалённый рабочий стол компании.
После завершения кражи начинается этап вымогательства. Письмо с требованиями обычно приходит в течение получаса после завершения операции. Компании дают три дня на начало переговоров. Если руководство не отвечает, преступники угрожают связаться с сотрудниками, клиентами и партнёрами организации, а также опубликовать украденные материалы на сайте LEAKEDDATA.
Особую тревогу у специалистов вызвали случаи, когда атаки выходили за пределы цифрового пространства. По данным Mandiant и Федерального бюро расследований США, люди, выдававшие себя за технических специалистов, приходили непосредственно в офисы компаний. Под предлогом проверки оборудования или создания резервных копий они пытались подключить внешние накопители и скопировать данные напрямую с рабочих компьютеров.
Mandiant связывает кампанию с группировкой UNC3753, также известной под названиями Luna Moth , Chatty Spider и Silent Ransom Group. Активность группы отслеживается как минимум с 2022 года. Ранее злоумышленники использовали поддельные уведомления о продлении подписок на программное обеспечение, однако примерно с марта 2025 года начали всё чаще выдавать себя за сотрудников внутренних ИТ-служб.
Специалисты предупреждают, что юридические фирмы остаются особенно привлекательной целью для вымогателей из-за огромного объёма конфиденциальной информации о клиентах, сделках, судебных процессах и корпоративной деятельности. Авторы отчёта считают, что применение телефонного мошенничества в сочетании с личными визитами демонстрирует новую стадию развития подобных атак, где главной мишенью становятся не технологии, а доверие сотрудников.
В мае ФБР опубликовало предупреждение о том, что группировка Silent Ransom Group нацеливалась на юридические фирмы с помощью социальной инженерии и фишинговых атак , выдавая себя за сотрудников ИТ-поддержки. В некоторых случаях злоумышленники отправляли поддельных сотрудников ИТ в офисы жертв, где те подключались к компьютерам сотрудников и с помощью USB-накопителей или инструментов удалённого доступа похищали данные, включая контракты, персональные сведения – такие как номера социального страхования – а также финансовые и налоговые документы.
- Источник новости
- www.securitylab.ru
