Хакерите използват новини за рансъмуер на колониален тръбопровод за фишинг атака

Cyberattackers вече използват известността на атаката на рансъмуер на Colonial Pipeline използвайте допълнителни фишинг атаки, според констатациите на компания за киберсигурност.

Обикновено хакерите използват широко отразявани новинарски събития, за да накарат хората да кликват върху злонамерени имейли и връзки, а фирмата за киберсигурност INKY заяви, че наскоро е получила множество имейли в бюрото за помощ за любопитни имейли, които получават техните клиенти.

Клиентите на INKY съобщиха, че са получили имейли, в които се обсъжда атаката на рансъмуер срещу Colonial Pipeline, и ги молят да изтеглят „актуализации на системата за рансъмуер“, за да защитят организацията си от подобна съдба.

Злонамерените връзки отвеждат потребителите към уебсайтове с убедителни имена – ms-sysupdate.com и selectivepatch.com – и двата новосъздадени и регистрирани в NameCheap. Същият домейн, който изпраща имейлите, също контролира връзките, обясни INKY в публикация в блог.

МАСТИЛО

Хората зад атаката успяха да накарат фалшивите уебсайтове да изглеждат още по-убедителни, като ги проектираха с логото и изображенията на целевата компания. Бутон за изтегляне на страницата изтегля файл „Cobalt Strike“ на компютъра на потребителя, наречен „Ransomware_Update.exe“.

През март, Red Canary’s Доклад за откриване на заплахи за 2021 г. изброява „Cobalt Strike“ като втората най-често откривана заплаха, а докладът INKY отбелязва, че Talos Intelligence установява, че е участвал в 66% от всички атаки на рансъмуер през Q4 на 2020 г.

Букар Алибе, анализатор на данни за INKY, каза, че са започнали да виждат фишинг атаката само няколко седмици след избухването на новини, че тръбопроводът е платил милиони на групата за рансъмуер REvil, за да възстанови системите на компанията.

„В тази среда фиширите се опитаха да използват безпокойството на хората, предлагайки им софтуерна актуализация, която ще„ поправи “проблема чрез силно насочен имейл, който използва език за дизайн, който може да бъде собственият на компанията на получателя“, пише Alibe. „Всичко, което получателят трябваше да направи, беше да натисне големия син бутон и зловредният софтуер ще бъде инжектиран.“

Освен че се възползваха от страха около рансъмуера, нападателите направиха имейлите и фалшивия уебсайт да изглеждат така, сякаш идва от собствената компания на потребителя, като им даде легитимност, добави Алибе.

Нападателите също успяха да преодолеят много фишинг системи, използвайки нови домейни.

щракнете върху бутона за изтегляне и изпълнете папката за изпълнение, за да осигурите.jpg

МАСТИЛО

„Ако изглежда, че е изпратено от самата компания (напр. От HR, IT или Finance), всъщност произхожда ли от имейл сървър под контрола на компанията? Ако изглежда като отделите за човешки ресурси или IT, но се отклонява от нормата, това трябва да е знаме “, се казва в публикацията в блога.

Alibe призова ИТ екипите да уведомят служителите, че „няма да бъдат помолени да изтеглят определени типове файлове“, тъй като тези видове фишинг имейли се стремят да използват желанието на служителите да постъпят правилно, като спазват предполагаемите насоки за сигурност. Alibe отбеляза, че атаката е насочена към две компании и каза, че ИТ екипите трябва да очакват повече атаки по същия начин.

„Не бихме се изненадали, ако видим, че нападателите използват неотдавнашната фишинг кампания на Нобелиум-USAID като примамка“, каза Алибе.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com