Недавно компания ReliaQuest столкнулась с взломом в производственном секторе, связанным с фишингом и утечкой данных. Злоумышленники были очень быстры и смогли взломать систему всего за 48 минут. Это демонстрирует, что злоумышленники действуют быстрее, чем команды безопасности, что требует более автоматизированных и быстрых средств реагирования.
Black Basta Ransomware
В данном исследовании, проведенном ReliaQuest, рассматривается тактика злоумышленников, которые использовали фишинг и социальную инженерию. Они отправляли поток спам-писем под видом сотрудников службы техподдержки, затем использовали Teams, чтобы уговорить пользователей открыть инструмент удаленного доступа Quick Assist. Один из пользователей предоставил злоумышленнику доступ к своей машине, что позволило им осуществить атаку.
Данная тактика эффективна, так как спам-письма не содержат вредоносных ссылок или вложений, а письма выдавались за легитимные. Злоумышленники использовали данную тактику, чтобы убедить пользователей предоставить им контроль над своими компьютерами. Этот метод может быть использован и другими угрожающими группами в ближайшем будущем.
ReliaQuest предлагает несколько рекомендаций для повышения защиты от данной тактики. Во-первых, рекомендуется установить надежные процедуры проверки признаков подлинности службы поддержки, чтобы пользователи могли убедиться, что взаимодействуют с легитимными сотрудниками. Также необходимо заблокировать использование инструментов удаленного мониторинга и управления для удаленного доступа, чтобы предотвратить обман пользователей.
Для более эффективного обнаружения фишинговых атак, ReliaQuest предлагает реализовать правила обнаружения, такие как обнаружение массовых спам-кампаний по электронной почте и фишинговых атак через Microsoft Teams. Автоматизированные сценарии реагирования также позволяют быстро реагировать и устранять последствия атак.
Indicators of Compromise
Domains
- pefidesk.com
- uptemp.icu
SHA256
- c80883615157bd83dfed24683eee343a7b2ac5ab7949b3a260dc10e9f0044bb4
