"Вымогательство нового уровня: как злоумышленники эксплуатируют имя Clop"

 

Исследователи из Barracuda Networks обнаружили, что мошенники выдавали себя за членов банды вирусов-вымогателей Clop с целью вымогательства у компаний.

Инцидент является частью тенденции, когда мошенники выдают себя за известных злоумышленников, занимающихся вымогательством, и утверждают, что украли конфиденциальные данные с целью получения платежей от жертв.

В вымогательском письме злоумышленники утверждали, что воспользовались уязвимостью в системе управляемой передачи файлов компании Cleo , что позволило им получить несанкционированный доступ к сети компании-жертвы.

По их словам, это позволило им загружать и извлекать данные с серверов.

Чтобы придать своим утверждениям достоверность, злоумышленники прикрепили ссылку на сообщение в блоге СМИ, в котором сообщалось, что Clop украл данные 66 клиентов Cleo, используя этот подход.

Эксплуатация уязвимостей в программном обеспечении для управляемой передачи файлов является распространенной тактикой, используемой Clop для массового выявления жертв .

В поддельном письме жертве сообщалось, что если она не заплатит, украденная информация будет опубликована в «блоге» Клопа.

Был предоставлен ряд контактных адресов электронной почты, по которым жертвам настоятельно рекомендовалось связаться.

Письмо с вымогательством от мошенников, утверждающих, что они из банды вирусов-вымогателей Clop. Источник: Barracuda

Исследователи Barracuda заявили, что электронное письмо имеет все признаки мошенничества, поскольку в нем отсутствуют элементы, связанные с подлинными вымогательскими требованиями Clop.

«Если в письме содержатся такие элементы, как 48-часовой срок оплаты, ссылки на защищенный чат-канал для переговоров о выплате выкупа и частичные названия компаний, данные которых были взломаны, то вы, скорее всего, имеете дело с настоящим вымогателем Clop, и вам необходимо немедленно принять меры для смягчения последствий инцидента», — написали они.

Исследователи добавили, что если эти элементы отсутствуют, скорее всего, вас обманывают.

Поддельные письма с вымогательством Clop, скорее всего, ссылаются на сообщения в СМИ о реальных атаках с использованием вируса-вымогателя Clop, чтобы создать видимость подлинности.

Результаты расследования были получены вскоре после того, как GuidePoint Security и ФБР раскрыли, что мошенники рассылают предприятиям письма с вымогательством, якобы от имени группировки BianLian, занимающейся распространением вирусов-вымогателей.

В нем отправитель утверждает, что взломал корпоративную сеть получателя и похитил конфиденциальные данные, имитируя угрозы настоящего вируса-вымогателя с требованием выкупа.

Фишинговые атаки, избегающие обнаружения

В мартовском отчете Barracuda Email Threat Radar также была выявлена ​​фишинговая активность с использованием методов, разработанных для обхода традиционных средств защиты, за последний месяц.

К ним относится фишинговая платформа LogoKit, распространяющая вредоносные электронные письма, якобы предлагающие срочную смену пароля.

LogoKit активен с 2022 года и способен взаимодействовать с жертвами в режиме реального времени. Это означает, что злоумышленники могут динамически адаптировать свои фишинговые страницы по мере того, как жертва вводит свои учетные данные, что делает веб-сайт более легитимным.

Платформа также может интегрироваться с популярными службами обмена сообщениями, социальными сетями и платформами электронной почты для распространения своих фишинговых сообщений. Такая универсальность затрудняет обнаружение этой деятельности.

В ходе последней фишинговой атаки с участием LogoKit злоумышленники распространяли выглядящие как настоящие электронные письма с заголовками «Требуется сброс пароля» или «Требуется немедленное действие с учетной записью».

Они предназначены для того, чтобы побудить получателя быстро нажать на ссылку, чтобы решить предполагаемую проблему. Вместо этого они отправляются на динамически созданную фишинговую страницу, размещенную LogoKit, разработанную так, чтобы выглядеть идентично порталу входа и странице сброса пароля сервиса, к которому, по мнению жертвы, она подключается.

Жертве предлагается ввести свои учетные данные, которые затем перехватываются злоумышленником.

Barracuda также сообщила о продолжающемся росте использования вложений масштабируемой векторной графики (SVG) в фишинговых атаках.

Файлы SVG содержат текстовые инструкции, подобные XML, для рисования векторных изображений изменяемого размера на компьютере.

Эти файлы становятся популярным методом доставки вредоносных данных из-за их способности содержать встроенные скрипты, которые не выглядят подозрительными для инструментов безопасности.

ДОПОЛНИТЕЛЬНАЯ ИНТЕРЕСНАЯ ИНФОРМАЦИЯ: