FBI警告:Silent Ransom Group的回拨网络钓鱼攻击
关键要点
回拨钓鱼攻击:黑客通过电邮联系目标公司的员工,以假冒账户索赔为借口,诱使其拨打黑客的呼叫中心。技术手段:Silent Ransom Group利用合法的远程系统管理工具来提升网络权限。历史:该集团自2022年4月以来活跃,并与之前的Conti cartel有关联。趋势:FBI指出对小型美国赌场的攻击有所增加,影响了许多员工和顾客的个人信息。静默赎金组织Silent Ransom Group最近实施了一种回拨网络钓鱼诈骗,旨在获取其目标组织的初步访问权限。联邦调查局FBI对此发出了警告。
什么是回拨钓鱼攻击?
回拨钓鱼攻击涉及黑客向目标公司的员工发送电邮,通常以假冒账户的名义寻求支付,并要求员工拨打黑客的呼叫中心以解决问题。一旦受害者拨打电话,犯罪团伙便利用社会工程学手段操控通话者安装恶意软件,从而获得对目标组织的初步访问权限。
这种攻击方式对勒索软件集团而言,是一种高效且低风险的网络入侵方法,既廉价又能迅速产生效果。
Silent Ransom Group如何利用合法工具
在11月7日的行业私密通知中,FBI的网络部门表示,Silent Ransom Group在自7月以来的回拨钓鱼攻击中,使用“合法系统管理工具来提升网络权限”。
快喵加速器的下载FBI指出:“当受害者拨打提供的电话号码后,恶意演员会通过后续邮件中的链接引导他们使用一个合法的系统管理工具。”
“然后,威胁行为者利用管理工具安装其他可以被恶意利用的合法系统管理工具。”
虽然FBI没有提供具体的工具细节,过去使用回拨钓鱼手法的团体已经滥用了如AnyDesk、TeamViewer或Zoho Assist等合法的远程连接工具。
FBI进一步报道:“这些行为者接着破坏了本地文件和网络共享驱动器,窃取了受害者数据,并对公司进行敲诈。”
Silent Ransom Group重歼旧技
Silent Ransom Group,也被称为“月蛾”,在诱骗受害者时经常使用回拨钓鱼诈骗手法。该团伙自2022年4月起活跃,由已解散的Conti黑帮成员组成。
近年来,Silent Ransom Group与Quantum及Roy/Zero团伙一起,从Conti的残余血脉中发展而来,并在成立几个月内就与回拨钓鱼攻击产生了联系。
在通知中,FBI建议组织应采取多项措施,以降低员工成为回拨钓鱼攻击以及更广泛的勒索软件攻击的受害风险。
其中包括建议组织实施仅允许已知且被允许的远程访问解决方案的清单策略,并在已建立的安全政策下执行。
FBI还表示,应将获得批准的远程管理和维护解决方案进行记录,并要求安全团队对任一未获批准的解决方案立即展开调查。
勒索软件团伙对小型赌场的攻击
与此同时,在同一行业私密通知中,FBI还提到了一种新兴的勒索软件攻击趋势:针对小型美国赌场的攻击有所增加。
“在2022年至2023年间,FBI注意到勒索软件攻击使赌场因第三方游戏供应商而受到影响”机构表示。
“这些攻击频繁针对小型和部落赌场,加密了服务器以及员工和顾客的个人身份信息PII。”
近期的行业新闻也聚焦于针对大型赌场运营商的攻击,尤其是拉斯维加斯知名赌场集团美高梅度假村MGM Resorts与凯撒娱乐Caesars Entertainment的后果。
