Forscher von AdvIntel warnen davor, dass drei weitere Ransomware-Gruppen begonnen haben, die BazarCall-Spear-Phishing-Technik zu verwenden, die von der Ryuk-Bande erfunden wurde (eine Bedrohungsgruppe, die später in Conti umbenannt wurde). BazarCall Callback-Phishing ermöglicht es Bedrohungsakteuren, viel gezieltere Social-Engineering-Angriffe zu erstellen, die für bestimmte Opfer entwickelt wurden. Die Forscher skizzieren die vier Stufen dieser Technik:
- “Stufe eins. Der Bedrohungsakteur sendet eine legitim aussehende E-Mail und benachrichtigt das Ziel, dass es einen Dienst abonniert hat, für den die Zahlung automatisch erfolgt. Die E-Mail gibt eine Telefonnummer an, die Ziele anrufen können, um ihr Abonnement zu kündigen.
- “Stufe Zwei. Das Opfer wird dazu verleitet, sich an ein spezielles Callcenter zu wenden. Wenn Betreiber einen Anruf erhalten, verwenden sie eine Vielzahl von Social-Engineering-Taktiken, um Opfer davon zu überzeugen, Remote-Desktop-Steuerung zu geben, angeblich um ihnen zu helfen, ihren Abonnementdienst zu kündigen.
- “Stufe drei. Beim Zugriff auf den Desktop des Opfers verschanzt sich ein erfahrener Netzwerkeindringling lautlos im Netzwerk des Benutzers und setzt legitime Tools ein, die zuvor typisch für Contis Arsenal waren. Der anfängliche Bediener bleibt mit dem Opfer in der Leitung und gibt vor, ihm beim Remote-Desktop-Zugriff zu helfen, indem er weiterhin Social-Engineering-Taktiken anwendet.
- “Stufe vier. In der letzten Phase von BazarCall liefert die initiierte Malware-Sitzung dem Angreifer Zugang als ersten Einstiegspunkt in das Netzwerk des Opfers. Dieser anfängliche Zugriff wird dann verwendet und ausgenutzt, um die Daten einer Organisation gezielt anzusprechen.”
Die Forscher kommen zu dem Schluss, dass mehr Ransomware-Akteure diese Technik wahrscheinlich in ihre eigenen Angriffe integrieren werden.
“Seit seinem Wiederaufleben im März dieses Jahres hat Call-Back-Phishing die aktuelle Bedrohungslandschaft völlig revolutioniert und seine Bedrohungsakteure gezwungen, ihre Angriffsmethoden neu zu bewerten und zu aktualisieren, um in der neuen Ransomware-Nahrungskette an der Spitze zu bleiben”, sagt AdvIntel.
“Andere Bedrohungsgruppen, die den Erfolg, die Effizienz und die Targeting-Fähigkeiten der Taktik sehen, haben begonnen, umgekehrte Phishing-Kampagnen als Grundlage zu nutzen und den Angriffsvektor zu ihrem eigenen zu entwickeln. Dieser Trend wird sich wahrscheinlich fortsetzen: Da Bedrohungsakteure die Möglichkeiten von bewaffneten Social-Engineering-Taktiken erkannt haben, ist es wahrscheinlich, dass diese Phishing-Operationen im Laufe der Zeit immer ausgefeilter, detaillierter und schwieriger aus legitimer Kommunikation zu analysieren sein werden. “
Conti als solches ist zwar keine aktive Marke mehr, aber seine Betreiber sind nicht in den Ruhestand getreten. Ein Cyber Security Awareness Training kann Ihren Mitarbeitern beibringen, sich entwickelnde Social-Engineering-Taktiken zu vereiteln.
AdvIntel hat die Geschichte.