„Mandiant a investigat diverse cazuri în care adversarii au infiltrat angajați, au mituit personal sau au intrat fizic în clădiri pentru a facilita atacuri cibernetice”, a declarat Charles Carmakal, directorul tehnologic al Mandiant, pentru TechCrunch, adăugând că firma a observat această tactică și în alte cazuri de-a lungul anilor.
Luna trecută, FBI a publicat o alertă avertizând că Silent Ransom Group a vizat cabinetele de avocatură cu atacuri de inginerie socială și phishing, pretinzând că sunt angajați IT de suport. Dar, în unele cazuri, grupul a trimis personal fals de suport IT la birourile victimelor, unde s-au conectat la calculatoarele angajaților și au folosit stick-uri USB sau instrumente de acces remote pentru a fura date precum contracte, informații personale precum numerele de securitate socială și înregistrări financiare și fiscale.
Un purtător de cuvânt al FBI a declarat pentru TechCrunch: „Putem confirma că am observat multiple cazuri de persoane care se dau drept suport IT și care au obținut sau au încercat să obțină acces fizic în persoană la birourile și/sau dispozitivele companiilor victimă, ca parte a schemei Silent Ransom Group de a exfiltra date.”
În ceea ce este acum o tactică comună de șantaj – una care nu implică criptarea datelor victimelor, ca în atacurile tradiționale ransomware – grupul are propriul site de scurgeri, unde amenință victimele cu publicarea datelor furate, apoi le publică dacă victima nu plătește. De multe ori, asta se întâmplă după ce hackerii trimit email-uri direct victimelor pentru a le amenința.
„În caz de ignorare sau lipsă de acord, vom notifica angajații, partenerii și clienții dumneavoastră, după care vă vom publica datele”, au scris hackerii unei victime, conform Google.
Potrivit raportului Google, hackerii folosesc și metode mai tradiționale, cum ar fi email-uri de phishing, apeluri telefonice ulterioare și inginerie socială. Criminalii cibernetici se prefac a fi suportul IT al companiei pentru a păcăli victimele să le acorde acces la calculatoare.
„Apelanții folosesc o varietate de instrucțiuni verbale pentru a ghida comportamentul țintei. Sub pretextul rezolvării unei probleme de securitate sau al ajutorului pentru un proiect de migrare a datelor corporative, ei construiesc încredere și direcționează ținta să se alăture unei sesiuni de partajare a ecranului”, au scris cercetătorii Google. Hackerii ocolesc apoi controalele de securitate convingând victimele să descarce și să deschidă aplicații de partajare a ecranului sau folosind funcții de partajare a ecranului din aplicații precum Zoom sau Microsoft Teams.
Deși hackerii fură date de cele mai multe ori remote, prin malware sau atacuri de phishing, aceste cazuri arată că unii hackeri sunt acum dispuși să-și ducă crimele cu un pas mai departe, combinând tehnicile tradiționale de hacking cu intruziuni fizice, ceea ce reprezintă o escaladare nouă și semnificativă.
De ce este important:
Această amenințare subliniază o evoluție periculoasă în peisajul securității cibernetice: trecerea de la atacuri exclusiv digitale la cele care implică prezența fizică. Pentru companii, în special cabinetele de avocatură care dețin date extrem de sensibile, aceasta înseamnă că măsurile de securitate nu mai pot neglija protecția perimetrului fizic. Angajații trebuie instruiți să verifice identitatea oricărui „specialist IT” care sosește neanunțat sau care solicită acces la sisteme. De asemenea, este esențial ca organizațiile să implementeze politici stricte de control al accesului și să utilizeze autentificare multifactor pentru toate conexiunile remote. FBI și Google recomandă vigilență sporită și raportarea imediată a oricăror încercări suspecte de acces fizic sau remote. Rămâneți informați și protejați-vă datele – eroarea umană rămâne cea mai mare vulnerabilitate.
