Исследователи Sophos обнаружили, что две группы ведут атаки через email-бомбы
- По меньшей мере 15 организаций подверглись атакам за последние месяцы
- Целью является кража конфиденциальных данных и распространение программ-вымогателей
Аналитики по кибербезопасности из Sophos X-Ops зафиксировали несколько кампаний по email-бомбингу в отношении западных организаций. Эти атаки направлены на кражу данных и развёртывание программ-вымогателей. За последние три месяца они наблюдали более 15 таких случаев, причем половина произошла всего за последние две недели, что позволяет предположить, что преступники наращивают темпы.
Tехнология email-бомбинга является не новой. Она заключается в том, чтобы загружать жертву сотнями, а то и тысячами электронных писем за короткий период времени. Затем злоумышленники выходят на связь, выдавая себя за администратора IT или сотрудника технической поддержки.
Российские хакеры
Сообщается, что хакеры связываются через Microsoft Teams или аналогичные инструменты для онлайн-сотрудничества и предлагают решить «проблему». Если жертва ведется на этот обман, атакующие требуют доступ к Quick Assist или экранное взаимодействие через Microsoft Teams для получения контроля над устройством. Получив доступ, они устанавливают программы-вымогатели.
Как указывает Sophos X-Ops, с уверенностью атрибутировать эти атаки конкретным группировкам пока не удалось. Однако, они отметили, что нашли связи одной из групп с Fin7 — известной российской хакерской группировкой, ориентированной на финансирование. Вторая группа, судя по всему, связана с Storm-1811, другой киберпреступной группировкой, известной по развертыванию программы Black Basta через сложные социальные манипуляции, ранее замеченной в подражании сотрудникам IT.
По мнению Шона Галлахера, ведущего исследователя Sophos, ключевая проблема заключается в том, что стандартная конфигурация Teams позволяет пользователям извне взаимодействовать с сотрудниками компании.
«В связи с тем, что многие компании используют внешних поставщиков IT-услуг, получение звонка от неизвестной персоны с подписью «Менеджер службы поддержки» может не вызвать подозрений, особенно если он сопровождается большим количеством спам-писем,» — отметил Галлахер.
Sophos настоятельно рекомендует компаниям, использующим Microsoft 365, оставаться настороже, проверять конфигурации системы, блокировать сообщения с внешних учетных записей, если это возможно, а также ограничивать использование инструментов удалённого доступа, которые не применяются регулярно.
Источник: TechRadar
