Zwischen Januar und Mai führte eine Gruppe von Cyberkriminellen eine Datendiebstahl- und Erpressungskampagne gegen Dutzende Organisationen durch, vor allem Anwaltskanzleien und Finanzdienstleister in den Vereinigten Staaten.
Bekannt unter mehreren Namen wie UNC3753Luna Moth, Chatty Spider oder Silent Ransom Grouphat diese Gruppe ihr Arsenal um eine Methode erweitert: die physische Infiltration der Räumlichkeiten ihrer Opfer, um ihre Fernangriffe abzuschließen.
Wie arbeitet die Gruppe aus der Ferne?
Die Haupttaktik der Gruppe basiert zunächst auf Vishing (Voice-Phishing). Angreifer kontaktieren Mitarbeiter telefonisch und geben sich als interner IT-Support oder ein Sicherheitsteam aus.
Sie liefern einen glaubwürdigen Vorwand, beispielsweise die Lösung eines Sicherheitsproblems oder die Hilfe bei der Migration von Unternehmensdaten. Sobald das Vertrauen aufgebaut ist, überreden sie die Zielperson mithilfe legitimer Tools wie Zoom oder Microsoft Teams, an einer Bildschirmfreigabesitzung teilzunehmen.
Diese Social-Engineering-Techniken ermöglichen es ihnen, automatisierte Abwehrmaßnahmen zu umgehen und das Opfer dazu zu bringen, Befehle auszuführen oder dauerhaftere Fernsteuerungssoftware herunterzuladen.
Eine physische Infiltrationstaktik
Wenn Remote-Versuche scheitern, geht die Cybergang auf die nächste Ebene über. Nach Angaben des FBI (PDF) und Google (Mandiant) schickt die Gruppe dann gefälschte Computertechniker direkt in die Büros der anvisierten Unternehmen, was eine erhebliche Eskalation ihrer Methoden darstellt.
Diese Betrüger behaupten, aus Sicherheitsgründen eine lokale Sicherung durchführen oder ein „Image eines Geräts“ erstellen zu müssen. Sobald sie physischen Zugriff auf den Computer haben, verwenden sie einfach USB-Sticks sensible Daten zu kopieren und herauszufiltern und so traditionelle Abwehrmaßnahmen zu umgehen.
Reagieren Sie auf eine hybride Bedrohung
Bemerkenswert ist die Geschwindigkeit der Ausführung. Mandiant berichtet, dass in vielen Fällen „ Der gesamte Angriffsablauf, vom Erstkontakt bis zur Erpressung, erfolgte an einem einzigen Arbeitstag „.
Unternehmen müssen eine einheitliche Sicherheitshaltung einnehmen. Es reicht nicht aus, sich auf Firewalls und Virenschutz zu konzentrieren, Sie müssen strenge physische Zugangskontrollen implementiereneinschließlich der Überprüfung der Identität der Besucher und der Begleitung von externem technischem Personal zum Gelände.
