O ator de ameaça com motivação financeira conhecido como UNC3944 está mudando para a implementação de ransomware como parte de uma expansão de suas estratégias de monetização, revelou a Mandiant.
"UNC3944 demonstrou um foco maior em roubar grandes quantidades de dados sensíveis para fins de extorsão e eles parecem entender as práticas de negócios ocidentais, possivelmente devido à composição geográfica do grupo", disse a empresa de inteligência de ameaças.
"UNC3944 também tem consistentemente confiado em ferramentas publicamente disponíveis e software legítimo em combinação com malware disponível para compra em fóruns underground."
O grupo, também conhecido pelos nomes 0ktapus, Scatter Swine e Scattered Spider, está ativo desde o início de 2022, adotando a engenharia social por telefone e o phishing por SMS para obter credenciais válidas de funcionários usando páginas falsas de login e infiltrar organizações vítimas, espelhando táticas adotadas por outro grupo chamado LAPSUS$.
Enquanto o grupo originalmente focava em empresas de telecomunicações e terceirização de processos de negócios (BPO), ele desde então expandiu seu alvo para incluir hospitalidade, varejo, mídia e entretenimento e serviços financeiros, ilustrando a crescente ameaça.
Uma característica chave dos atores de ameaça é que eles são conhecidos por usar as credenciais de uma vítima para se passar pelo funcionário em chamadas para o serviço de assistência da organização numa tentativa de obter códigos de autenticação multifator (MFA) e/ou redefinições de senha.
Vale notar que a Okta, no início deste mês, alertou aos clientes sobre os mesmos ataques, com a gangue de e-crime ligando para os help desks de TI das vítimas para enganar o pessoal de suporte a redefinir os códigos MFA para funcionários com altos privilégios, permitindo-lhes ganhar acesso a essas contas valiosas.
Em um caso, um funcionário supostamente instalou o malware RECORDSTEALER através de um falso download de software, que posteriormente facilitou o roubo de credenciais.
As páginas de login falsas, projetadas usando kits de phishing como EIGHTBAIT e outros, são capazes de enviar as credenciais capturadas para um canal Telegram controlado pelo ator e implantar o AnyDesk.
O adversário também foi observado usando uma variedade de ladrões de informações (por exemplo, Atomic, ULTRAKNOT ou Meduza, e Vidar) e ferramentas de roubo de credenciais (por exemplo, MicroBurst) para obter o acesso privilegiado necessário para atingir seus objetivos e aumentar suas operações.
Parte da atividade do UNC3944 inclui o uso de serviços de proxy residencial comercial para acessar suas vítimas e evitar a detecção e o software de acesso remoto legítimo, bem como a realização de extensos reconhecimentos de diretório e rede para ajudar a escalonar privilégios e manter a persistência.
Também vale a pena notar é o abuso dos recursos de nuvem da organização vítima para hospedar utilitários maliciosos para desativar o firewall e o software de segurança e entregá-los a outros endpoints, sublinhando a evolução das habilidades do grupo de hackers.
As últimas descobertas surgem à medida que o grupo emergiu como um afiliado da equipe de ransomware BlackCat (também conhecida como ALPHV ou Noberus), aproveitando seu novo status para violar o MGM Resorts e distribuir o malware que criptografa arquivos.
"Os atores de ameaça operam com um ritmo operacional extremamente alto, acessando sistemas críticos e exfiltrando grandes volumes de dados em poucos dias", destacou a Mandiant.
"Ao implantar ransomware, os atores de ameaça parecem visar especificamente máquinas virtuais críticas para os negócios e outros sistemas, provavelmente em uma tentativa de maximizar o impacto na vítima."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...