出典: Alamy Stock Photo経由のBrian Jackson
新たな脅威グループが法律事務所を対象に、ソーシャルエンジニアリングを利用してデータを盗み出し、被害者から金銭を脅し取る広範なビッシングキャンペーンを展開しているとFBIが警告しています。
サイレントランサムグループは、ルナモス、チャッティスパイダー、UNC3753としても知られ、2022年からランサムウェアを使用せずにデータを盗み、それを人質に取って身代金を要求することで名を上げています。最新のキャンペーンは、ITをテーマにした電話とコールバックフィッシングメールを組み合わせて被害者と接触し、システムやデバイスへのリモートアクセスを得てデータを盗むという巧妙な詐欺です。FBIが5月23日に発表した警告によると。
この攻撃パターンは、3AMやBlack Bastaなどのランサムウェアグループによる最近の活動で見られるもので、攻撃者は企業のIT部門のメンバーを装って被害者を騙し、初期アクセスを得た後にさらなる悪意のある活動を行います。これはサイレントグループにとって戦術のわずかな変化であり、FBIによれば、数年前に始まった被害者の増加を示しています。
異なる攻撃者が採用している効果的な手法は、「サイバー犯罪者が進化し、従来のマルウェアを展開せずに組織を侵害するために音声ベースのソーシャルエンジニアリング戦術(ビッシング)を使用していることを示しています」とExabeamのシニア脅威研究者であるサリー・ヴィンセントは指摘しています。
関連記事:VersaのConcerto Orchestratorで修正された3つの重大なバグ
戦術と被害者の変化
サイレントが2022年に登場したとき、グループはフィッシングメールで小額のサブスクリプションプランを提供する有名企業を装い、被害者にサブスクリプションをキャンセルするために電話をかけさせました。脅威アクターはその後、リモートアクセスソフトウェアをダウンロードするリンクをメールで送り、アクターがデバイスやシステムにアクセスできるようにしました。
「アクターが持続的なアクセスを確立すると、脅威アクターは価値のある情報を特定して抽出し、身代金が支払われない場合に被害者のデータを共有すると脅す身代金通知を送信します」とFBIの警告にあります。
新しいキャンペーンは元のアプローチからの変化であり、サイレントグループは現在、個人に直接電話をかけ、彼らの会社のIT部門の従業員を装っています。グループはその後、Zoho Assist、Syncro、AnyDesk、Splashtop、またはAteraを通じて、メールやウェブページにアクセスしてリモートアクセスセッションに参加するよう指示します。彼らは従業員に対して、リモートアクセス作業が夜間に行われる必要があると伝えることで、緊急性と持続性の両方を感じさせます。
関連記事:攻撃者がSamsung MagicINFOサーバーのバグを標的に、今すぐパッチを適用
アクセスが得られると、攻撃はWindows Secure Copy(WinSCP)または「Rclone、オープンソースのコマンドラインツールの隠されたまたは名前を変更したバージョンを使用してデータを抽出する方向に進みます。
「侵害されたデバイスに管理者権限がない場合、WinSCPポータブルが被害者のデータを抽出するために使用されます」とFBIの警告にあります。「この戦術は最近観察されたばかりですが、非常に効果的であり、複数の侵害を引き起こしました。」
グループは現在、法律事務所を主なターゲットとしているようで、以前は被害者の多様性がありましたが、FBIによれば、法律業界のデータの高度な機密性のために焦点を絞ったと考えられます。以前のキャンペーンの他の被害者には、医療業界や保険業界の企業が含まれています。グループはこれらの組織を依然として標的にしていますが、法律事務所に焦点を絞っています。
侵害を避けるためのヒント
FBIが強調したサイレントランサムグループのキャンペーンは、攻撃者がますます意図的になり、ターゲットの特定のビジネスプロセスを学び、キャンペーンをカスタマイズして成功の可能性を高めていることを示しています。
「関与するソーシャルエンジニアリングのレベルは、これらの悪意のあるアクターが攻撃を開始する前に、偵察やプロファイリングを通じて企業の運営を理解するために多大な時間と労力を投資したことを示唆しています」とCequenceの最高情報セキュリティ責任者であるランドルフ・バーは観察しています。「これは偶発的ではなく、ターゲットを絞った意図的なものです。」
関連記事:RealDefenseパートナープログラムが年間収益1億ドルを超える
攻撃がよりターゲットを絞るようになるにつれて、組織は侵害を避けるためにセキュリティの基本に従うべきだとFBIは推奨しています。基本的なサイバー衛生、例えば、未承諾の電話やメールに対して疑いを持ち続けること、強力なパスワードを使用すること、多要素認証を採用すること、アンチウイルスツールをインストールすることは、ターゲットにされた組織を保護するために大いに役立ちます。しかし、FBIはまた、サイレントランサムグループの最近のキャンペーンは「従来のアンチウイルス製品によってフラグ付けされる可能性が低い」と指摘しています。なぜなら、グループは通常、攻撃において合法的なシステム管理ツールやリモートアクセスソフトウェアを使用しているからです。
組織が採用できるより高度なセキュリティ戦術には、一般的なビッシングやフィッシング戦術に関するスタッフトレーニングを実施すること、ITグループが従業員にどのようにアプローチするかの方針を策定し、伝達すること、会社のデータの定期的なバックアップを維持することが含まれます。
FBIは、ターゲットにされた組織に対し、攻撃に関する関連情報を提供するよう求めています。これには、身代金のメモのコピー、脅威アクターが使用した電話番号、元のコールバックメッセージまたはフィッシングメール、攻撃者との通信のボイスメールやアーティファクトが含まれます。
翻訳元: https://www.darkreading.com/endpoint-security/fbi-silent-ransom-group-vishing-law-firms