Cyberkriminelle können Jobs auf LinkedIn posten und sich als beliebiger Arbeitgeber ausgeben

Die laxe Überprüfung, welches Unternehmen eine bestimmte Stelle auf LinkedIn anbietet, ermöglicht es Angreifern, gefälschte Stellenausschreibungen für böswillige Zwecke zu erstellen.

Es scheint, dass LinkedIn von Cyberkriminellen als Medium genutzt wird, um mit Opfern in Kontakt zu treten. Bedrohungsakteure haben heute die Möglichkeit, sich bei der Veröffentlichung von Stellenanzeigen als Mitarbeiter eines legitimen Unternehmens auszugeben.

Betrügereien mit Stellenausschreibungen sind eine der wirkungsvollsten Social-Engineering-Taktiken, die heutzutage eingesetzt werden – die Nutzung einer gut etablierten Website wie LinkedIn und die völlige Abwesenheit von E-Mail-basiertem Phishing, gepaart mit dem Wunsch des potenziellen Bewerbers, jeden Prozess zu durchlaufen, der notwendig ist, um diesen coolen Job bei diesem großartigen Unternehmen mit der fantastischen Bezahlung zu bekommen, ergibt einen perfekten Cybersturm.

Ich habe bereits im Jahr 2019 über solche Angriffe geschrieben, als ein Entwickler einer Bank auf der Suche nach einem neuen Job war und dazu verleitet wurde, ein RAT zu installieren, unter der Annahme, dass es sich um ein Programm handelte, mit dem er eine Bewerbung ausfüllen konnte. Es scheint, dass LinkedIn immer noch keine Möglichkeit hat, zu überprüfen, ob der Poster von dem Unternehmen stammt, das er vorgibt zu sein.

Laut Bleeping Computer waren Sicherheitsforscher kürzlich in der Lage, den Posting-Prozess zu durchlaufen, ohne das Unternehmen, für das sie angeblich arbeiten, überprüfen zu müssen. Dies ist ein enormer Vorteil für den Bedrohungsakteur. Denken Sie darüber nach: Wenn ich eine bestimmte Branche oder ein bestimmtes Unternehmen ins Visier nehmen möchte, kann ich einen Entwicklerjob als konkurrierendes Unternehmen in derselben Branche ausschreiben. Einfaches, elegantes und wahrscheinlich effektives Social Engineering – alles dank LinkedIn.

Diese Art des Angriffs ist eine der raffiniertesten, da das Opfer das Gefühl hat, die Verbindung selbst herzustellen (im Gegensatz zu einer Phishing-E-Mail, die in Ihrem Posteingang auftaucht) und emotional daran interessiert ist, den Prozess bis zum Ende zu verfolgen.

Die Gefahr, auf Social Engineering hereinzufallen, ist einer der Hauptgründe dafür, dass Unternehmen ihre Benutzer zu kontinuierlichen Sicherheitsschulungen anhalten müssen – Social-Engineering-Taktiken sind nicht nur in E-Mails zu finden, und diese neuesten Erkenntnisse auf LinkedIn bestätigen diese Annahme.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

Wenn die URL-Domäne nicht ausreicht, um einen Phish zu vermeiden

Eines der häufigsten Mantras in Sicherheitsschulungen lautet: „Prüfen Sie die URL, um festzustellen, ob sie auf den rechtmäßigen Anbieter verweist oder nicht!“

Das ist ein guter Ratschlag. Bringen Sie sich selbst und anderen bei, wie man URL-Links (Internet Uniform Resource Locator) liest, damit sie Tricks von Phishern erkennen können, die versuchen, sie auf gefälschte Websites zu locken. Wenn Sie wissen, wie man den Unterschied zwischen microsoft.com und microsoft.com.biztalk.ru erkennt, können Sie sich eine Menge Ärger und vergeudete Stunden ersparen.

Sogar ich sage das immer wieder (d. h. „Prüfen Sie die URL“). Ich habe sogar einen einstündigen Webinar-Kurs mit dem Titel „Combating Rogue URL Tricks“. Ich habe einen entsprechenden Blog-Artikel verfasst, und Sie können hier sogar eine nützliche PDF-Datei mit den „12 häufigsten betrügerischen URL-Tricks“ herunterladen. Ich bin sehr dafür, dass jeder lernt, wie man betrügerische URLs erkennt.

In den meisten Fällen reicht es aus, nach dem vollständig qualifizierten Domänennamen (z. B. microsoft.com) zu suchen und ihn zu identifizieren, um zu erkennen, was legitim ist und was nicht. Hier ist ein Screenshot aus meiner Präsentation zu Rogue URLs, in der ich erkläre, wie man den referenzierten DNS-Domänennamen erkennt.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

Bei der überwiegenden Mehrheit der Phishing-Angriffe wird ein gefälschter (z. B. ähnlich aussehender oder ähnlich klingender) Domänenname in der URL verwendet. Mit einem kurzen Blick lässt sich also feststellen, ob eine URL auf eine legitime Website verweist oder nicht.

Aber nicht immer. Wie ich in meinem Webinar über betrügerische URLs (sowie in einem Artikel und einer PDF-Datei) darlege, gibt es eine Vielzahl von Tricks, mit denen Phisher Menschen dazu bringen können, auf eine betrügerische URL zu klicken. Eine der raffiniertesten Methoden ist der so genannte Umleitungsangriff.

Umleitungsangriffe

Bei Umleitungsversuchen verwendet der Phisher einen legitimen Domänennamen und eine legitime Website, hat aber eine Schwachstelle in der Art und Weise gefunden, wie der Host die eingegebenen zusätzlichen Variablen interpretiert. Lassen Sie mich das genauer erklären. Wenn Sie eine URL (z. B. example.com) eingeben oder anklicken, verwendet diese URL DNS (Domain Name Service), um den eingegebenen oder angeklickten Namen umzuwandeln und Sie zu der IP-Adresse und dem Dienst zu leiten, der den Inhalt für diese URL hostet. Wenn Sie www.microsoft.com eingeben, gelangen Sie zu dem Server/Dienst, auf den der Host antwortet und der die Inhalte für die angegebene URL bereitstellt. Wenn die angegebene URL jedoch ein Fragezeichen (?) nach dem Domänennamen enthält, wird alles nach dem Fragezeichen als „Variable“ betrachtet und zur Überprüfung und Bearbeitung an den antwortenden Server/Dienst zurückgegeben. Hier ist eine weitere Folie aus meiner Rogue URL-Präsentation, die sich mit URL-Variablen beschäftigt.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

Hinweis: Ich werde Server/Dienste vereinfachen, indem ich einfach den umfassenderen Dienst sage.

Entscheidend ist, dass alles nach dem ersten Fragezeichen in einer URL als Variable behandelt wird und mehrere Variablen durch ein kaufmännisches Und (&) getrennt werden können. Normalerweise werden Variablen vom Hosting-Dienst verwendet, um Benutzer und ihre Aktivitäten zu verfolgen, aber die Variablennamen und ihre Verwendungszwecke können vom Hosting-Dienst beliebig gewählt werden.

Hinweis: Ich vereinfache dieses Thema stark, um zu verhindern, dass dies ein 50-seitiges Ebook wird.

Ein Teil des Problems besteht darin, dass die Variablen und ihre Werte von jedem geändert werden können und dem Host-Dienst zur Auswertung vorgelegt werden. Nun, normalerweise ist das kein Problem. Normalerweise sucht jeder Hosting-Dienst nur nach bestimmten Variablennamen und -werten und ignoriert einfach alles, was er nicht versteht. Und man sollte meinen, dass alles, was er akzeptiert und „versteht“, weder für den Dienst noch für seine Nutzer gefährlich ist.

Es hat sich herausgestellt, dass viele Dienste (seit Jahrzehnten) die Übermittlung missgestalteter Variablen zugelassen haben, die unbeabsichtigte, nicht autorisierte Aktionen auslösen können. Was diese nicht autorisierten Aktionen sind, hängt vom Host ab und davon, was der Host aufgrund der fehlerhaften Variablenwerte zulässt und tut. Das einfachste Beispiel für Variablenmissbrauch ist eine Variable, die von einer Website verwendet wird, um Benutzer zwischen Klicks zu verfolgen. Nehmen wir an, eine Variable mit dem Namen „user“ verfolgt Benutzer anhand der Nummer ihres Identitätskontos, einschließlich der Kreditkartendaten. Ein Beispiel: ?user=456789 ist eine Nummer, die zu meiner Identität führt. Ein Hacker könnte versuchen, ?user=456788 zu verwenden und sehen, was passiert. Vielleicht werden dadurch die Sitzung und die Kreditkartendaten eines anderen Benutzers angezeigt. Aus diesem Grund sollten Websites, die Benutzer mithilfe von URL-Variablen verfolgen, sicherstellen, dass die Benutzer-ID, die verwendet werden könnte, so zufällig wie möglich ist und nicht erraten werden kann – damit ein Angreifer nicht einfach herausfinden kann, was ein gültiger Wert für die Benutzervariable ist und was nicht, und das Konto des Benutzers aufrufen kann.

Einige Websites erlauben die Erstellung von URLs, die es Dritten ermöglichen, Benutzer auf eine andere Website umzuleiten. Vielleicht möchte die Website beispielsweise zulassen, dass jeder, der an ihrem Standort ankommt, nach dem Besuch ihrer Website auf der Website des Drittanbieters landet. Die „verweisende“ URL könnte eine Variable enthalten, die angibt, wie die Ursprungs-URL lautet. Der Host-Dienst sieht sie, bearbeitet den Benutzer und schickt ihn anschließend zurück zur Ursprungswebsite. Erfinden wir ein einfaches Beispiel für dieses Szenario mit einer URL, die etwa so aussieht: www.example.com?referringURL=www.originalwebsite.com. Die Beispiel-Website möchte den Benutzer einfach von der Website, von der er gekommen ist, zurückschicken. Die Absicht ist ziemlich harmlos. Die Tatsache, dass jede URL eine Person zu einer bestimmten Website leiten kann und dann den Benutzer (eigentlich seinen Browser) auf eine beliebige Website der Wahl des URL-Erstellers umleitet, ist als „offene Umleitung“ bekannt.

Ein bösartiger Hacker könnte eine Phishing-E-Mail verwenden, die scheinbar von einer seriösen Website stammt, z. B. example.com, aber eine bösartige Umleitungs-URL enthält, die den Benutzer nicht auf seine ursprüngliche Website zurückbringt, sondern auf eine neue, bösartige Website (z. B. www.example.com?referringURL=www.maliciouswebsite.com). Die Hosting-Website hatte nie die Absicht, das Opfer an einem anderen Ort als der ursprünglichen Website „abzusetzen“, aber da sie die Variable nicht sicher genug „analysiert“ hat, setzt sie es einfach dort ab, wo die übermittelte (vom Angreifer erstellte) URL angibt, den Benutzer abzusetzen. Dies ist ein böswilliger Umleitungsangriff. Sie kommen heutzutage nicht mehr so häufig vor, weil die Programmierer von Websites gewarnt werden, sie nicht zuzulassen, aber sie schleichen sich über Tage bis Monate hinweg ein, bis jemand das Problem meldet und die Hosting-Website das Problem der Umleitung behebt. Hacker und Phisher suchen nach Websites mit URL-Weiterleitungen, die für Phishing-Angriffe genutzt werden können.

Hinweis: Böswillige Umleitungen und andere ähnliche Tricks werden hier behandelt.

Beispiele für Umleitungsangriffe in der realen Welt

Im Folgenden finden Sie einige Beispiele aus der Praxis.

Beispiel UPS.com

Dieses aktuelle Beispiel hat mich dazu veranlasst, diesen Artikel zu schreiben. Mein Kollege, Erich Kron, kommentierte es in diesem Artikel. Im Wesentlichen schickte der Phisher eine E-Mail, in der er behauptete, vom United Postal Service (UPS) zu sein, weil eine Paketzustellung fehlgeschlagen war. Wir alle haben so etwas schon gesehen. Ziemlich alltäglich.

Aber in der E-Mail war eine URL enthalten, die mit ups.com begann (siehe unten).

malicious-url

Diese URL verweist auf die echte UPS.com-Website. Wenn man sich also nur diesen einen Datenpunkt ansieht, scheint es so, als würde man tatsächlich zu ups.com weitergeleitet. Es gibt sogar einen Screenshot (aus dem oben genannten Originalartikel), der zeigt, was angezeigt wird, wenn jemand auf den ups.com-Link klickt. Diese Webseite befindet sich nicht auf UPS.com.

Quelle: Express

Der Hacker verwendete die echte UPS.com-Website, fügte aber eine „onerror“-Weiterleitung ein, die der echten UPS.com-Website mitteilt, wohin sie den Benutzer weiterleiten soll, wenn der Link, der ihn ursprünglich zur echten UPS.com-Website führte, einen Fehler enthält. Der Phisher hat natürlich etwas in die URL eingefügt, das einen Fehlerzustand erzeugt. Wenn das potenzielle Opfer also auf den angegebenen Link klickt, wird es auf die echte UPS.com-Website weitergeleitet, die dann den „Fehler“ bemerkt und den in der onerror-Variable angegebenen Umleitungsanweisungen folgt. Dieser Teil ist eigentlich bei Millionen von Websites sehr, sehr üblich. Der Unterschied besteht darin, dass der getäuschte Benutzer nicht auf eine echte UPS.com-Webseite verwiesen wird (oder auf die Ursprungswebseite des Benutzers, falls es eine gab), sondern auf eine bösartige URL, die nichts mit UPS.com zu tun hat. Die bösartige Website sieht jedoch wie die echte UPS.com-Webseite aus (oder sieht ihr so ähnlich, dass der getäuschte Benutzer sie nicht groß in Frage stellt) und fordert den Benutzer dann auf, ein Dokument herunterzuladen. Das Dokument enthält Skripte, mit denen Malware gestartet wird.

Die bösartige Umleitungs-URL war Base64-kodiert. Die Funktion(atob) dekodiert die Base64-Kodierung zurück in ihren normalen Text (z. B. UTF-8), damit sie vom Browser des Benutzers ausgewertet werden kann. Die dekodierte URL im Klartext lautete: https://m.media-amazon[.]workers[.]dev/js, wobei die eckigen Klammern hinzugefügt wurden, um zu verhindern, dass Leser versehentlich auf den Link klicken und über den betrügerischen Link auf die betrügerische Website und die bösartige JavaScript-Datei geleitet werden. Insgesamt war dieses Beispiel einer bösartigen Weiterleitung äußerst raffiniert. Es wird behoben, indem UPS.com die onerror-Variable korrekter auswertet, damit sie nicht für bösartige Weiterleitungen verwendet werden kann.

Lösung

Machen Sie sich zunächst klar, dass die große Mehrheit der betrügerischen URLs keine gültigen, legitimen Markendomänennamen verwendet (z. B. microsoft.com). Schauen Sie sich also immer zuerst den Domänennamen in der URL an. Wenn er nicht auf eine gültige Marken-Website-Adresse verweist, können Sie ihn einfach als verdächtig markieren, ohne weiter darauf einzugehen. Wenn sie jedoch eine gültige Host-Domain-Adresse enthält, können Sie sich nicht auf diese eine, schnelle Prüfung zu 100 % verlassen. Sie sollten die E-Mail oder die Website, von der die URL stammt, etwas genauer untersuchen, um herauszufinden, ob die angegebene URL letztendlich auf eine gültige Domäne verweist oder nicht.

Zweitens: Stammt die URL aus einer unerwarteten E-Mail oder handelt es sich um ein Pop-up? Alles, was unerwartet kommt, sollte mit einem Anfangsverdacht behandelt werden, bis das eine oder andere ausgeschlossen ist. Wird ich in der unerwarteten E-Mail aufgefordert, auf eine URL zu klicken? Wenn ja, ist dies eine Aktion mit hohem Risiko. Wird ich in der URL oder E-Mail aufgefordert, eine Datei herunterzuladen oder ein Dokument zu öffnen? Beides ist eine äußerst risikoreiche Aktion. In welchem Kontext wird die Aktion durchgeführt? Wurden Sie schon einmal von der Quelle, die Sie dazu auffordert, zu dieser bestimmten Aktion aufgefordert? Wenn nicht, und Sie werden aufgefordert, etwas zu tun, was Sie noch nie zuvor getan haben, selbst wenn Sie glauben, dass die Aufforderung von einem seriösen Absender kommt, handelt es sich um eine hochriskante Handlungsaufforderung.

Wenn Sie auf den Link geklickt haben und statt auf der legitimen Domain zu landen, auf der Sie zu landen glaubten, landen Sie woanders, dann sollten Sie das als verdächtig betrachten. Leider gibt es viele seriöse Websites, Dienste und Marketing-Kampagnen, die Sie mit einem Köder ködern und Sie an einen anderen seriösen Dienst weiterleiten, der sich um Sie kümmert. Selbst wenn Sie auf einer anderen als der erwarteten Website landen, können Sie also nicht sicher sein, ob ein Link seriös ist oder nicht.

Auch hier gilt wieder, dass die Beweise überwiegen müssen. Wenn es sich um eine potenziell risikoreiche Aktion handelt und Sie noch nie darum gebeten wurden, dann zögern Sie und stellen Sie weitere Nachforschungen an, bevor Sie der vorgeschlagenen Aktion folgen. Noch besser ist es, wenn Sie dem vorgeschlagenen Link nicht folgen, sofern das Szenario dies zulässt. Gehen Sie stattdessen auf die Website des Hauptanbieters und beginnen Sie von dort aus. Im obigen Beispiel von UPS behauptet der Betrüger, dass eine Lieferung verschoben werden muss. Wäre dieser Antrag echt, könnten Sie zur echten ups.com gehen und dort denselben empfohlenen Antrag finden. Wenn das nicht der Fall ist, handelt es sich wahrscheinlich nicht um eine gültige Anfrage. Im Zweifelsfall sollten Sie die Finger davon lassen.

Wenn Sie wirklich glauben, dass die verdächtige Anfrage gültig sein könnte, öffnen Sie sie auf einem isolierten virtuellen Computer, der für eine solche Analyse eingerichtet wurde. Klicken Sie niemals auf einen verdächtigen Link auf Ihrem Arbeits- oder Produktionscomputer und hoffen Sie das Beste. Hoffnung schützt nicht vor böswilligen Hackern. Hoffnung schützt nicht vor Ransomware. Hoffnung schützt auch nicht vor Phishing. Aber ein wenig Nachforschung und Skepsis können helfen.

Verlassen Sie sich bei der Untersuchung einer E-Mail oder eines vorgeschlagenen Links immer auf die überwiegende Mehrheit der Beweise. Der Domänenname allein ist nicht genug. Und achten Sie auf diese bösartigen Weiterleitungen. Sie sind zwar nicht sehr häufig, aber es gibt sie. Kämpfen Sie weiter den guten Kampf!

A Look at a Ransomware Affiliate

The US Federal Bureau of Investigation (FBI) has issued an advisory describing a ransomware affiliate that calls itself “OnePercent Group,” the Record reports. The Record notes that the OnePercent Group is an affiliate of the REvil, Maze, and Egregor ransomware gangs. The threat actor gains initial access via phishing emails.

“OnePercent Group actors gain unauthorized access to victim networks through phishing emails with a malicious zip file attachment,” the FBI says. “The zip file includes a Microsoft Word or Excel document that contains malicious macros that allow the actors to subsequently infect the victim’s system with the banking Trojan IcedID. The actors use IcedID to install and execute the software Cobalt Strike on the victim’s network to move laterally to other systems within the environment through PowerShell remoting. The actors use rclone for data exfiltration from the victim’s network. The actors have been observed within the victim’s network for approximately one month prior to deployment of the ransomware.”

The FBI says the gang exfiltrates the victim’s data before encrypting it, then holds the stolen data for ransom.

“Once the ransomware is successfully deployed, the victim will start to receive phone calls through spoofed phone numbers with ransom demands and are provided a ProtonMail email address for further communication,” the Bureau says. “The actors will persistently demand to speak with a victim company’s designated negotiator or otherwise threaten to publish the stolen data. When a victim company does not respond, the actors send subsequent threats to publish the victim company’s stolen data via the same ProtonMail email address.”

The Bureau offers the following technical controls for organizations, but unfortunately forgot one of the most important ones when bad actors come in with phishing attacks: train those users with frequent simulated phishing attacks. 

  • Back-up critical data offline.
  • Ensure administrators are not using ‘Admin Approval’ mode.
  • Implement Microsoft LAPS, if possible.
  • Ensure copies of critical data are in the cloud or on an external hard drive or storage device. This information should not be accessible from the compromised network.
  • Secure your back-ups and ensure data is not accessible for modification or deletion from the system where the original data resides.
  • Keep computers, devices, and applications patched and up-to-date.
  • Consider adding an email banner to emails received from outside your organization.
  • Disable unused remote access/Remote Desktop Protocol (RDP) ports and monitor remote access/RDP logs.
  • Audit user accounts with administrative privileges and configure access controls with least privilege in mind.
  • Implement network segmentation.
  • Use multi-factor authentication with strong passphrases.

New-school security awareness training can give your organization an essential layer of defense by teaching your employees to recognize phishing and other social engineering attacks.

The Record has the full story

Microsoft Warns of New Phishing-Turned-Vishing-Turned-Phishing Attack Aimed at Installing Ransomware

In what appears to be a phishing attack that includes a mix of emails and phone calls, Microsoft reminds us to be wary of only opening emails and attachments from known contacts.

Perhaps taking a page from the recent Amazon-themed credit card scam that leverages vishing instead of malicious linksMicrosoft has put out a warning of a new attack that starts out as a fake payment notification. The “call center” staffers inform the victim caller of a need to fill out a form, quicky sending over a password-protected zip file that actually contains a malicious Word doc used to infect endpoints with ransomware.

The scam uses the following path, according to Microsoft:

E8d7LjUVEAUOIBT

Source: Microsoft Security Intelligence via Twitter

What makes this scam so interesting is the fact that users must be fooled three times:

  • That the initial fake invoice is real and that they must call to cancel it
  • That the call center support team is real and that an emailed Word doc (instead of a web form) is the means to cancel the payment
  • That a Word doc would be emailed inside of a zip file that sits behind a password

None of this sounds very customer-friendly – which should set off some red flags for users with any level of vigilance in place.

It’s stories of users falling for attacks like these that make it critical for organizations to put Security Awareness Training in place to educate users on various types of email attacks, methods used to install software or steal credentials, and the need for the user themselves to play a part in the organization’s security.

I’d file this attack in the “C’mon… really? People fall for that?” category, which only helps make my point about every organization needing proper security awareness training.

A COVID-19 Phishing Caper

A new phishing campaign is exploiting the ongoing uncertainty about company policies related to COVID-19, according to Roger Kay at INKY. The campaign uses emails that purport to come from a company’s HR office informing employees that they’re required to fill out a COVID-19 vaccination status form. Clicking on the link in the email will take the user to a Microsoft Outlook credential phishing page.

“This campaign was able to bypass existing email security in a number of ways,” Kay says. “It sent the lures from legitimate but hijacked email accounts to evade standard security checks. If the recipient clicked through, they were taken to a hijacked web page that impersonated a trusted brand. Because the phishers used a hijacked site, their exploit had not yet appeared on any threat intelligence feed. The sally was effectively a zero-day attack. Now that it’s been discovered and reported, any email security products that reference such feeds can find it, but it’s a little late for the first victims targeted by the campaign.”

Kay also notes that the emails are sent from compromised email accounts, which further added to their legitimacy.

“While the pitches appeared to be local, in fact, they all originated from various legitimate — but hijacked — external accounts,” Kay says. “This legitimacy enabled them to pass standard email authentication (i.e., SPF, DKIM, and DMARC).”

Kay explains that this phishing campaign uses the following tactics:

  • “The exploitation of current events — capitalizes on the uncertainty, fear, and urgency related to Covid-19 vaccinations and plans to return to the office
  • “Brand impersonation — uses elements of a well-known brand to make an email look as if it came from that company
  • “Credential harvesting — occurs when a victim thinks they are logging in to one of their resource sites but is actually entering credentials into a dialogue box owned by the attackers
  • “Compromised email accounts — are used by phishers to pass most security software tests, allowing phishing emails to slip past corporate defences and into hapless recipients’ inboxes”

New-school security awareness training can enable your employees to recognize the hallmarks of social engineering attacks.

INKY has the story.

CISA shares guidance on how to prevent ransomware data breaches

Bleepingcomputer reported: „The US Cybersecurity and Infrastructure Security Agency (CISA) has released guidance to help government and private sector organizations prevent data breaches resulting from ransomware double extortion schemes.

CISA’s fact sheet includes best practices for preventing ransomware attacks and protecting sensitive information from exfiltration attempts.

The federal agency issued these recommendations in response to most ransomware gangs using data stolen from their victims‘ networks as leverage in ransom negotiations under the threat of publishing the stolen info on dedicated leak sites.

„Ransomware is a serious and increasing threat to all government and private sector organizations, including critical infrastructure organizations,“ CISA said.

„All organizations are at risk of falling victim to a ransomware incident and are responsible for protecting sensitive and personal data stored on their systems.“

How to block ransomware and protect data

CISA encourages organizations to implement recommendations shared in the info sheet published on Wednesday designed to streamline the process of preventing and responding to ransomware-caused data breaches.

Among the advice included to prevent ransomware attacks, CISA says that at-risk orgs should:

  • Maintain offline, encrypted backups of data and regularly test backups
  • Create, maintain, and exercise a basic cyber incident response planresiliency plan, and associated communications plan
  • Mitigate internet-facing vulnerabilities and misconfigurations to reduce the attack vector
  • Reduce the risk of phishing emails from reaching end users by enabling strong spam filters and implementing user awareness and training programs
  • Practice good cyber hygiene (use up-to-date anti-malware solutions and application allowlisting, enable MFA, and limit the number of privileged accounts)

To block ransomware gangs from gaining access to customer or employee sensitive or personal information, CISA recommends:

  • Implementing physical security best practices
  • Implementing cybersecurity best practices (don’t store sensitive data on Internet-exposed devices, encrypt sensitive info at rest and in transit, use firewalls, use network segmentation)
  • Ensure your cyber incident response and communications plans include response and notification procedures for
    data breach incidents

Attackers Use Morse Code to Encode Phishing Attachments

phishing campaign is using morse code to encode malicious attachments in order to slip past security filters, according to researchers at Microsoft. The phishing emails contain HTML attachments designed to steal credentials.

“This phishing campaign exemplifies the modern email threat: sophisticated, evasive, and relentlessly evolving,” the researchers write. “The HTML attachment is divided into several segments, including the JavaScript files used to steal passwords, which are then encoded using various mechanisms. These attackers moved from using plaintext HTML code to employing multiple encoding techniques, including old and unusual encryption methods like Morse code, to hide these attack segments. Some of these code segments are not even present in the attachment itself. Instead, they reside in various open directories and are called by encoded scripts.”

(Morse code is not, of course, really encryption. It’s just another alphabetical system, but nowadays only old-school ham radio fists are likely to be fluent in Morse. And so it can function like a cipher for those not in the know.) This technique gives the emails a better chance of bypassing security technologies, since the filters are less likely to recognize the attachments as malicious.

“In effect, the attachment is comparable to a jigsaw puzzle: on their own, the individual segments of the HTML file may appear harmless at the code level and may thus slip past conventional security solutions,” the researchers write. “Only when these segments are put together and properly decoded does the malicious intent show.”

The researchers add that the attackers update their obfuscation techniques on a regular basis to stay ahead of the security industry.

“Cybercriminals attempt to change tactics as fast as security and protection technologies do,” the researchers write. “During our year-long investigation of a targeted, invoice-themed XLS.HTML phishing campaign, attackers changed obfuscation and encryption mechanisms every 37 days on average, demonstrating high motivation and skill to constantly evade detection and keep the credential theft operation running.”

New-school security awareness training can give your organization an essential layer of defense by teaching your employees to recognize social engineering attacks.

Microsoft has the story.

The Anatomy of Smishing Attacks and How to Avoid Them

Cybercriminals and nation-state actors continue to launch smishing attacks to steal credentials and distribute malware, according to Michael Marriott, Senior Strategy and Research Analyst at Digital Shadows. Marriott describes a new Android banking Trojan called “AbereBot” that’s being sold on cybercriminal forums. Since the Trojan targets mobile devices, it’s distributed via text messages.

“This is just one recent example, and barely a month goes by without another Android malware making news headlines,” Marriott says. “Back in January, for example, FluBot was reported to have spread quickly and significantly across targets. This malware was installed by SMS, in this case purporting to be from a delivery company providing a package tracking link. Users were prompted to download an application that would enable them to track the package, however, the malicious application enabled the attacker to capture banking credentials.”

Marriott cites advice from the UK’s National Cyber Security Centre (NCSC) on how to avoid falling for these scams:

  1. “Only download apps from App Stores, such as the Android Play Store.
  2. “If you suspect you have clicked on a malicious link, reset your device to factory settings and reset credentials of any accounts that you have entered since the infection.
  3. “Even non-Android users should be cautious of clicking on links that may be attempting to capture credentials.
  4. “Beware of unsolicited texts using high pressure tactics that introduce urgency, such as closing accounts or transferring funds, for example. When in doubt, go to the full website of the company and check notifications for your accounts there.
  5. “Beware of anything that forces you to log in to unrelated services, such as entering banking credentials to receive a package.
  6. “Always treat a message offering ‘something for nothing,’ such as winning money or prizes, as suspect, especially when you need to provide financial or other sensitive information.”

New-school security awareness training can enable your employees to recognize social engineering attacks.

Digital Shadows has the story.

DarkSide Ransomware Returns as BlackMatter After Sudden Shutdown of Operations

Probably the world’s most notorious ransomware gang disappears completely and subsequently reappears with new branding in an attempt to separate themselves from the types of attacks that originally brought them fame.

Darkside was the group behind most of the recent attacks on critical infrastructure companies in the U.S. and even faced scrutiny from the U.S. Government. After being shut down in May, the group announced it would shut down operations. What has turned out to be a law enforcement exercise that recovered most of the bitcoins paid in the attack on Colonial Pipeline, seems to have made a loud statement by the U.S. to the DarkSide folks: stay away from our critical infrastructure.

From the ashes rises BlackMatter – encryption algorithms were the giveaway – a rebranding of DarkSide with a clear message that they are officially not attacking specific types of businesses that would put them back into the same mess. From their BlackMatter website on the dark web:

7-14-21 Image-1

Source: BlackMatter

It appears that even cybercriminal gangs learned their lesson. And, while not giving up their life of crime, they know now to steer clear of targets that will put a cyber target on their back.

Despite the rebranding and new focus, DarkSide/BlackMatter has proven itself to be a dangerous criminal organization with state of the art ransomware capabilities that every organization (including those on the list above!) needs to avoid at all costs.

Spear Phishing Becomes a Bigger Problem as the Average Organization is Targeted 700 Times a Year

With threat actors honing their trickery skills to craft the perfect email used to fool a would-be victim recipient, new data shows cybercriminals are stepping up their game on a number of fronts.

Spear phishing only works when the misleading email content is relevant to the recipient. It’s one of the reasons social engineering plays such a critical role in today’s email-based attacks. According to security vendor Barracuda’s latest report, Spear Phishing: Top Threats and Trends, organizations are experiencing far more convincing and impactful campaigns that are focused on a wider range of roles in the organization than ever before:

  • 1 in 10 attacks are Business Email Compromise (BEC) attacks
  • 77% of BEC attacks target employees outside of finance and executive roles
  • Even so, the average CEO receives 57 targeted phishing attacks each year
  • IT staff still receive an average of 40 per year
  • Microsoft remains the top impersonated brand with WeTransfer in at number two

According to Barracuda, the roles targeted within an organization extend well-beyond that of the CEO or IT, making every employee a potential target:

7-12-21 Image

Source: Barracuda

This is the very reason why it’s so important to ensure that every user – regardless of role – continually takes part in your Security Awareness Training program. By doing so, they will remain updated on the latest scams, campaigns, social engineering tactics, etc. and be able to quickly identify malicious email content and avoid being the person responsible for a successful cyberattack.