Istraživači iz Barracuda Networks otkrili su da se prevaranti predstavljaju kao Clop ransomware grupa kako bi iznudili novac od kompanija.
Ovaj incident je dio trenda u kojem se prevaranti predstavljaju kao poznate ransomware grupe i tvrde da su iz kompanijskih sistema izvukli osjetljive podatke s ciljem iznude novca od meta.
U ucjenjivačkom e-mailu napadači su tvrdili da su iskoristili ranjivost u firmi za upravljanje prijenosom datoteka Cleo, što im je omogućilo neovlašten pristup mreži žrtve.
Rekli su da im je to omogućilo preuzimanje i izvlačenje podataka sa servera.
Napadači su uključili i link ka medijskom blogu koji je izvijestio da je Clop ukrao podatke od 66 Cleo korisnika koristeći ovaj pristup, kako bi njihove tvrdnje djelovale uvjerljivije.
Iskorištavanje ranjivosti u softveru za upravljanje prijenosom datoteka je uobičajena taktika koju Clop koristi za masovno ciljanje žrtava.
U lažnom e-mailu, žrtvi je rečeno da će ukradene informacije biti objavljene na Clopovom “Blogu” ukoliko se ne izvrši uplata.
Navedene su i serije kontakt e-mail adresa, uz poziv žrtvama da se jave.
Istraživači iz Barracuda Networks-a su naveli da e-mail ima sve karakteristike prevare, jer nedostaju elementi koji su tipični za stvarne zahtjeve za otkup Clop ransomwarea.
“Ako e-mail sadrži elemente kao što su rok za uplatu od 48 sati, linkove ka sigurnom chat kanalu za pregovore o uplati otkupa i djelomična imena kompanija čiji su podaci kompromitovani, onda se najvjerovatnije radi o stvarnom Clop ransomwareu, i morate poduzeti hitne korake za ublažavanje incidenta”, napisali su istraživači.
Ako ovi elementi nedostaju, velika je vjerovatnoća da ste meta prevare, dodali su istraživači.
Lažni Clop ucjenjivački e-mailovi vjerovatno će se pozivati na medijske izvještaje o stvarnim Clop ransomware napadima kako bi djelovali vjerodostojno.
Ova saznanja dolaze ubrzo nakon što su GuidePoint Security i FBI otkrili da prevaranti šalju ucjenjivačka pisma kompanijama, predstavljajući se kao BianLian ransomware grupa.
U pismu, pošiljalac tvrdi da je kompromitovao korporativnu mrežu primaoca i ukrao osjetljive podatke, oponašajući prijetnje iz stvarnih otkupnih poruka ransomwarea.
E-poruka za iznudu od prevaranata koji tvrde da su iz Clop ransomware bande. Izvor: Barracuda
Phishing napadi koji izbjegavaju detekciju
Martovski izvještaj “Email Threat Radar” kompanije Barracuda takođe je identifikovao phishing aktivnosti koje koriste tehnike dizajnirane da zaobiđu tradicionalne sigurnosne odbrane u proteklom mjesecu.
To uključuje platformu za phishing-as-a-service pod nazivom LogoKit, koja distribuira zlonamjerne e-mailove s tvrdnjama o hitnom resetovanju lozinke.
LogoKit je aktivan od 2022. godine i sposoban je za interakciju u stvarnom vremenu s žrtvama. To znači da napadači mogu dinamički prilagoditi phishing stranice dok žrtva unosi svoje vjerodajnice, čineći web stranicu vizuelno legitimnom.
Platforma se može integrisati sa popularnim servisima za razmjenu poruka, društvenim mrežama i e-mail platformama za distribuciju svojih phishing poruka. Ova svestranost otežava otkrivanje aktivnosti.
U najnovijim phishing aktivnostima vezanim za LogoKit, napadači su distribuirali e-mailove autentičnog izgleda s naslovima poput “Zahtjev za reset lozinke” ili “Neposredna akcija na računu potrebna.”
Osmišljeni su da potaknu primaoca da brzo klikne na link kako bi riješio navodni problem. Umjesto toga, primaoci se preusmjeravaju na dinamički kreiranu phishing stranicu hostovanu od strane LogoKita, dizajniranu da izgleda identično kao portal za prijavu ili resetovanje lozinke usluge na koju žrtva misli da se povezuje.
Žrtva se zatim traži da unese svoje pristupne podatke, koji se zatim presreću i pohranjuju od strane napadača.
Barracuda je takođe izvijestila o kontinuiranom porastu upotrebe SVG (Scalable Vector Graphics) priloga u phishing napadima.
SVG datoteke sadrže tekstualne upute slične XML-u za crtanje prilagodljivih, vektorski baziranih slika na računaru.
Ove datoteke postaju popularna metoda za isporuku zlonamjernih tereta zbog svoje sposobnosti da sadrže ugrađene skripte, koje sigurnosni alati često ne prepoznaju kao sumnjive.
Izvor:CyWare