Группа Pink Data Extortion становится свежим примером того, как голосовой фишинг и вымогательство данных продолжают менять ландшафт угроз. Вместо шумных атак с использованием программ-вымогателей, основанных на шифровании, эта группировка выбрала более быструю и скрытую модель, построенную на краже учётных данных. Основной инструмент - вишинг, обманные фишинговые наборы и точечные атаки на организации с высокой стоимостью потенциальной добычи.
Описание
Специалисты подразделения SOCRadar Threat Research проанализировали кампанию Pink, её фишинговую инфраструктуру, портрет жертв и технический сценарий. Результаты показывают группу, ориентированную на так называемую "охоту за крупной дичью". Они используют персонализированные фишинговые наборы для Okta и Microsoft Entra ID, бэкенд-управляемые шлюзы доступа и социальную инженерию, нацеленную на обход многофакторной аутентификации (MFA) и даже манипуляции с регистрацией ключей доступа passkey.
Pink - это новая отслеживаемая группировка, которая применяет голосовой фишинг, выдавая себя за сотрудников ИТ-отдела. Цель - получить учётные данные для последующей кражи данных. С высокой долей вероятности злоумышленники связаны с сетью "Коммьюнити" - международным англоязычным объединением киберпреступников. Отчёт специалистов указывает, что на основе совпадения инфраструктуры и техник Pink, скорее всего, является переименованием группы BlackFile, известной также как Redact. Атаки группировки начались как минимум в начале марта 2026 года и продолжаются до сих пор, а сайт для утечки данных заработал 31 мая 2026 года.
Фишинговые наборы Pink нацелены на среды Okta и Entra ID. Они включают жёсткую проверку на наличие песочниц и исследователей, верификацию в реальном времени видимости страниц для жертвы и возможность социальной инженерии для регистрации ключей passkey и получения восстановительных кодов. Для хостинга фишинговых страниц группировка использует Cloudflare и DDoS-Guard, а для регистрации доменов - Tucows и Nicenic. Имя цели при этом регистрируется как поддомен. Стратегия нацеливания указывает на то, что Pink охотится на крупные экосистемы США с высокой стоимостью, особенно в сферах здравоохранения, технологий и финансовых услуг.
Вместо шифрования данных злоумышленники полагаются на социальную инженерию для получения первоначального доступа. Они звонят сотрудникам, представляясь внутренней службой поддержки, и убеждают их перейти на специально созданную фишинговую страницу. Там жертва вводит свои учётные данные и данные для аутентификации. Получив доступ, группа собирает данные из SharePoint и OneDrive, а затем рассылает требования выкупа через взломанную электронную почту и внутренние сообщения Teams. Жертвам даётся 72 часа на связь через qTox и сайт утечки данных.
Первый проанализированный фишинговый набор нацелен на Microsoft Entra ID и использует многоуровневую защиту от обнаружения. Перед тем как показать жертве страницу входа, скрипт проверяет окружение на наличие виртуальных машин, автоматизированных браузеров и аномалий вроде разрешения экрана 800х600 или часового пояса UTC. Далее идёт проверка на человеческое взаимодействие - движение мыши, клик или скролл. Если все проверки пройдены, включается пульс-сигнал к серверу управления. Фишинговая страница не загружается до тех пор, пока оператор не подтвердит, что сессия принадлежит цели. После авторизации набор динамически подстраивает брендинг под организацию жертвы. Самой опасной возможностью является подмена MFA и ключей passkey: набор может показать жертве запрос на ввод номера для подтверждения входа или попытаться обманом заставить её передать восстановительные коды.
Второй набор предназначен для Okta и устроен по похожему принципу. Он также использует шлюз, скрывающий страницу за спиннером загрузки, и ждёт одобрения с бэкенда. Оператор может в любой момент отправить команду перенаправить жертву на нужный этап сбора данных, минуя дальнейшую проверку. Для кражи данных применяется технология Beacon API - она отправляет учётные данные на сервер даже после того, как жертва закрыла вкладку. Это делает обнаружение атаки ещё более сложным.
Анализ инфраструктуры показал, что группировка использует домены с именем бренда цели и ключевыми словами вроде passkey. Благодаря этому удалось выявить 75 потенциальных целей. Абсолютное большинство - 69 доменов - указывают на компании, базирующиеся в США. Речь идёт в основном о технологических гигантах, инвестиционных фирмах с Уолл-стрит и крупных сетях больниц. Остальные цели находятся в Великобритании, Ирландии и Японии.
Наиболее активно злоумышленники атакуют сектор здравоохранения и биотехнологий - почти 27 процентов от всех целей. Среди них Vertex, IDEXX, Stryker, Dexcom, Hologic, Astellas. Технологический сектор и SaaS получили по 21 проценту: IBM, Workday, HubSpot, Blackbaud, Uber, Teradata. Столько же приходится на финансовые услуги: BlackRock, Cboe, Nuveen, Apollo, а также венчурные фонды a16z и Bessemer. Профессиональные услуги, медиа и развлечения, строительство, авиация и розничная торговля составляют меньшую часть портфеля целей.
Группа Pink демонстрирует опасную эволюцию в ландшафте вымогательства данных. Объединив голосовой фишинг с управляемой фишинговой инфраструктурой, злоумышленники показали способность обходить современные средства защиты, включая MFA и ключи passkey. Их целенаправленная охота на крупные американские компании из здравоохранения, финансов и технологий представляет серьёзную угрозу. Организациям следует уделить первоочередное внимание обучению сотрудников распознаванию вишинга, поскольку именно человек остаётся основным вектором атаки. Замена push-уведомлений на аппаратные ключи FIDO2 остаётся золотым стандартом защиты, даже при том что набор Pink уже пытается обойти их через социальную инженерию. Мониторинг аномальных шаблонов входа и подозрительных регистраций аутентификации позволит выявить компрометацию на ранней стадии.
Индикаторы компрометации
Domains
- activatemypasskey.com
- activatepasskey.com
- addmypasskey.com
- addoktapasskey.com
- addpasskey.com
- createmypasskey.com
- deploypasskey.com
- enrollpasskey.com
- newpasskey.com
- passkeyactivate.com
- passkeyadd.com
- passkeycenter.com
- passkeydeploy.com
- passkeyenrollment.com
- passkeyimplement.com
- passkeymanage.com
- passkeyms.com
- passkeyokta.com
- passkeyportalsetup.com
- passkeyregister.com
- passkeyregistration.com
- passkeyrollout.com
- passkeysecuresetup.com
- passkeyset.com
- passkeysetup.com
- passkeysupport.com
- portalpasskey.com
- registerpasskey.com
- secureauthpasskey.com
- setpasskey.com
- setupmypasskey.com
- setupoktapasskey.com
- setupssopasskey.com
- setupyoupasskey.com
- setupyourpasskey.com