O Threat Intelligence Group do Google agora alerta que os invasores acessam fisicamente os sistemas das vítimas: eles se passam por técnicos de TI no local e depois entram no escritório da empresa afetada. Em seguida, você usa o pendrive para acessar dados confidenciais diretamente do dispositivo final.
Leia mais depois do anúncio
Os invasores digitais geralmente tentam roubar dados ou sabotar redes remotamente: a vítima recebe um e-mail de phishing, entra em contato com o invasor e o invasor obtém acesso remoto à rede da empresa – depois copia dados confidenciais. Caso o invasor não avance, em alguns casos, ele ficará em frente ao prédio da empresa.
Segundo o Google, os apoiadores da TI falsa são o grupo de hackers UNC3753, também conhecido como Luna Moth, Chatty Spider ou Silent Ransom Group. Visam principalmente escritórios de advocacia nos EUA, mas empresas de seguros, financeiras ou de saúde também são afetadas. Esses dados são acordos legais, dados pessoais ou documentos financeiros que pretendem chantagear a empresa.
Continue
Grupos de hackers procuram detalhes de contato nos sites das empresas para poder entrar em contato com as vítimas por telefone ou e-mail. Eles agem como se estivessem no departamento de TI ou segurança da empresa. Eles então alertam as vítimas sobre vulnerabilidades de segurança percebidas ou desejam ajudar em projetos criados para migrar dados. É assim que se constrói confiança e tenta convencer a vítima a realizar uma sessão de manutenção remota.
Segundo o Google, o UNC3753 usa softwares normais de compartilhamento de tela: Zoom, Microsoft Terminal Services, Microsoft Teams ou Quick Assist. Em um caso, o invasor falou com a vítima por meio do Teams cinco vezes em três dias. Eles também tentam persuadir as vítimas a instalar software remoto especial: como AnyDesk, Bomgar ou Zoho Assist. Em um caso, o usuário precisa baixar o “agente SuperOps RMM” via cURL.
Transferência de dados
Leia mais depois do anúncio
Se o invasor tiver a confiança da vítima, ele copia dados confidenciais. Por exemplo, eles fazem login em uma conta de compartilhamento de arquivos diretamente no navegador da vítima e carregam os arquivos diretamente – eles mesmos fazem isso ou instruem a vítima. Eles também imitam a marca da empresa-alvo.
Entre outros, são utilizados os programas de transferência de dados WinSCP e Rclone. Em um caso, o invasor transferiu aproximadamente 1,7 GB de dados de uma pasta local do OneDrive para uma conta do Google Drive. Ele também instruiu as vítimas a enviar arquivos do software legal iManage diretamente aos hackers por e-mail.
Aviso do FBI
Segundo o Google, se as táticas remotas do invasor falharem, eles tentarão roubar os dados. O FBI também alertou sobre isso no final de maio (PDF). Eles se apresentaram novamente como suporte de TI e fingiram que precisavam de um backup. Eles usam um disco rígido externo ou um simples pendrive para isso. Assim que os hackers têm todos os dados de que precisam, eles enviam um e-mail de chantagem para a empresa e ameaçam publicá-lo.
O FBI recomenda, entre outras coisas, verificar a autorização de todos que entram nas instalações da empresa. As empresas também devem treinar funcionários, criar backups e limitar a capacidade de conectar unidades externas.
O Google também recomenda monitorar o tráfego de dados de rede e de saída – os fluxos de saída de vários GB de dados devem ser ignorados. As empresas devem bloquear serviços não autorizados de compartilhamento de arquivos, registrar a quantidade de dados transferidos em logs de firewall e verificar especificamente o tráfego SSH na porta 22 para transferências em massa.
(str)
