Ünlü Conti siber suç kartelinin üç farklı kolu, hedeflenen ağları ihlal etmek için ilk erişim vektörü olarak geri arama kimlik avı tekniğine başvurdu.
Siber güvenlik firması AdvIntel, “Üç özerk tehdit grubu, o zamandan beri, geri arama kimlik avı metodolojisinden türetilen kendi hedefli kimlik avı taktiklerini benimsedi ve bağımsız olarak geliştirdi.” söz konusu Çarşamba raporunda.
Şirket, bu hedefli kampanyaların finans, teknoloji, hukuk ve sigorta sektörlerindeki kuruluşlara yönelik saldırıları “önemli ölçüde artırdığını” da sözlerine ekledi.
Söz konusu aktörler arasında, Conti’nin devam eden Rus-Ukrayna ihtilafında Rusya’ya verdiği halk desteğini takiben Mayıs 2022’de Conti’yi kapatmasının ardından Conti’den ayrılan Silent Ransom, Quantum ve Roy/Zeon yer alıyor.
BazaCall (diğer adıyla BazarCall) olarak da adlandırılan gelişmiş sosyal mühendislik taktiği, daha sonra Conti olarak yeniden adlandırılan Ryuk fidye yazılımı operatörleri tarafından kullanılmaya başlandığında 2020/2021’de dikkatleri üzerine çekti.
Conti ekibinin aktif bir grubun hareketlerini simüle ederken organizasyon çapında bir yeniden yapılanmayı koordine etmekle meşgul olduğu yaklaşık aynı zamanda, Mayıs ayında önemli operasyonel iyileştirmeler aldığı söyleniyor.
Kimlik avı saldırısı, alıcıların premium abonelik için kredi kartlarından yaklaşan bir ücret konusunda uyararak kandırdıkları telefon numaraları lehine e-posta mesajlarındaki kötü niyetli bağlantıları veya ekleri ortadan kaldırması bakımından da benzersizdir.
Hedef alıcı bu plana düşerse ve e-postada belirtilen telefon numarasını aramaya karar verirse, BazaCall operatörleri tarafından kurulan sahte bir çağrı merkezinden gerçek bir kişi, kurbanı, iptale yardımcı olması için müşteri hizmetleri görevlisine uzak masaüstü kontrolü vermeye ikna etmeye çalışır. sözde abonelik.
Masaüstüne erişimle tehdit aktörü, kullanıcının ağına sızmak ve veri hırsızlığı gibi takip eden faaliyetler için kalıcılık sağlamak için gizlice adımlar atar.
AdvIntel, “Geri arama phishing, fidye yazılımı dağıtımına yönelik yaklaşımda yaygın bir değişimi mümkün kılan taktikti” diyerek, “saldırı vektörünün özünde Conti organizasyon geleneğine gömülü olduğunu” da sözlerine ekledi.
Mart 2022’de siber suç çetesinden ayrılan ilk Conti alt grubu olan Silent Ransom, o zamandan beri, kullanıcıları Zoho Masterclass ve Duolingo hizmetleri için bekleyen ödeme konusunda bilgilendirdiğini iddia eden abonelik sona erme e-postaları aracılığıyla ilk erişim elde ettikten sonra veri gasp saldırılarına bağlandı.
Sygnia, “Bu saldırılar, grubun ana odak noktasının hassas belgelere ve bilgilere erişim sağlamak ve çalınan verilerin yayınlanmasını engellemek için ödeme talep etmek olduğu veri ihlali fidye saldırıları olarak kategorize edilebilir.” kayıt edilmiş geçen ay, enfeksiyon prosedürünü açıklayan.
İsrailli siber güvenlik şirketi, Luna Moth takma adıyla Silent Ransom’ın faaliyetlerini takip ediyor.
Quantum ve Roy/Zeon, Haziran 2022’den itibaren aynı yaklaşımı izleyen diğer iki Conti yan ürünü. karışmış Mayıs ayında Kosta Rika hükümet ağlarına yönelik yıkıcı fidye yazılımı saldırılarında, Roy/Zeon “Ryuk’un yaratılmasından sorumlu” üyelerden oluşuyor.
Araştırmacılar, “Tehdit aktörleri silahlı sosyal mühendislik taktiklerinin potansiyellerini fark ettiğinden, bu kimlik avı operasyonlarının zaman geçtikçe daha ayrıntılı, ayrıntılı ve meşru iletişimlerden ayrıştırılması zor olmaya devam etmesi muhtemeldir” dedi.
Bulgular endüstriyel siber güvenlik şirketi Dragos olarak geliyor ifşa Endüstriyel altyapılara yönelik fidye yazılımı saldırılarının sayısı, 2022’nin ilk çeyreğinde 158’den ikinci çeyrekte 125’e düştü ve düşük güvenle Conti’nin mağazasını kapatmasına bağladı.
Hepsi bu değil. Blockchain analitik firması Elliptic meydana çıkarmak Bu hafta, şu anda feshedilmiş olan Conti grubu, Nisan 2021 ile Temmuz 2022 arasında sanal fonların blok zincirler arasında transfer edilmesini sağlayan zincirler arası bir köprü olan RenBridge aracılığıyla 53 milyon doların üzerinde kripto varlığı akladı.