Kifinomult átverések, új szoftverek
A banda tagjai rendszerint dolgozóknak adják ki magukat, akik elvesztették hozzáférésüket a céges fiókjukhoz. Így próbálják rávenni az informatikusokat, hogy osszanak meg velük érzékeny belépési adatokat, visszaállítsák jelszavaikat, vagy helyezzék át a többlépcsős azonosítást (MFA) a támadók által irányított eszközökre. Bár néhány trükkjük régi, módszereiket gyakran frissítik, hogy elkerüljék a lebukást; már legitim alkalmazásokat – például a Teleportot vagy az AnyDesket – is bevetnek távoli eléréshez.
Új vírusok, célpontban a Snowflake-adatbázisok
Friss eszköztáruk egyik kulcseleme a RattyRAT, egy Java-alapú, távoli elérésű trójai program, amely lehetővé teszi a hosszan tartó, rejtett jelenlétet és a belső felderítést. Legutóbb a DragonForce nevű zsarolóvírussal támadtak, amelyet cégek virtuális szerverein, főként VMware ESXi (Elastic Sky X Integrated) platformokon is bevetettek.
Nem mindig titkosítanak: sokszor azonnal érzékeny adatokat lopnak el, és azzal fenyegetik meg áldozataikat, hogy nyilvánosságra hozzák a fájlokat, ha nem érkezik meg a váltságdíj, amely tipikusan több millió, akár több tízmillió forint (HUF) is lehet. A legfőbb „szivárgási pontok” közé tartoznak többek között a MEGA[.]NZ vagy az Amazon S3 szerverei.
Hihető, de hamis domainek, villámgyors támadások
A támadók ügyesen hamisítják a cégek domainjeit – például a -helpdesk vagy a -cms utótagot csatolnak a vállalati nevekhez, például: targetsname-cms[.]com, targetsname-helpdesk[.]com, oktalogin-targetcompany[.]com. Kiemelt célpontot jelentenek az adatbázisos hozzáférések, elsősorban a Snowflake-alapúak, mert ezekből akár percek alatt nagy mennyiségű adatot lehet kinyerni. A támadások gyorsak és átgondoltak: a teljes betörés, az adatlopás, majd a zsarolóvírus telepítése akár néhány óra alatt lezajlik.
Áldozatok és lépések a védelemhez
Összességében elmondható, hogy bár a brit letartóztatások egy időre visszavetették a banda aktivitását, más kiberbűnözői csoportok – amelyek hasonló social engineering fogásokat alkalmaznak – azóta is aktívan támadnak. A szakértők szerint most kulcsfontosságú, hogy a vállalatok tanuljanak a korábbi esetekből, és megerősítsék rendszereiket.
A védekezéshez három fő lépést javasolnak: érzékeny adatokról offline biztonsági mentés készítése (nem a forrásrendszeren tárolva); adathalászat-biztos, többfaktoros azonosítás kötelezővé tétele; valamint alkalmazásvezérlés beállítása annak érdekében, hogy csak engedélyezett szoftverek futhassanak. Az FBI mellett számos ország vezető kiber- és rendészeti szerve is részt vett a tanácsadásban.
