Hogyan csapnak le?
A hackerek először gondosan megfigyelik a kiválasztott céget, hogy minél több adatot gyűjtsenek róla. Ezután hitelesnek tűnő adathalász üzenetekkel megkeresik a dolgozókat, ezek segítségével pedig bejutnak a vállalati infrastruktúrába, elsősorban a SharePoint és a OneDrive rendszerekbe. Itt a támadók az ajándékkártyákkal kapcsolatos folyamatokat keresnek: például hogyan adják ki, követik vagy kezelik a kártyákat, milyen exportált nyilvántartásokat és hozzáférési útmutatókat használnak, mik az ezzel kapcsolatos szervezeti gépek és Citrix-környezetek.
Miért pont ajándékkártya?
Az ajándékkártyák vonzóak a bűnözők számára, mert gyorsan, gyakorlatilag nyomozhatatlanul és könnyen értékesíthetők. A kártyákat szinte azonnal pénzzé tudják tenni, nem marad nyoma, mint például egy banki átutalás esetén. Miután beváltották, a pénz egyik feketepiaci számláról a másikra vándorolhat, visszakövetni szinte lehetetlen. Közben az ajándékkártyák könnyen továbbértékesíthetők a dark weben.
Hosszú távú támadássorozat
Az Atlas Lion jellemzően hosszú hónapokig bent marad a céges hálózatokban – egyetlen vállalatnál a kutatók szerint közel egy évig használták a hozzáféréseket, miközben több mint 60 fiókot kompromittáltak. Az ellopott pénz mennyisége egyelőre ismeretlen.
