ΑρχικήsecurityΟι χάκερ Wizard Spider προσλαμβάνουν cold callers για να φοβίσουν τα θύματα...

Οι χάκερ Wizard Spider προσλαμβάνουν cold callers για να φοβίσουν τα θύματα να πληρώσουν

Ερευνητές έχουν αποκαλύψει τις εσωτερικές λειτουργίες του Wizard Spider, μιας ομάδας hacking. Την Τετάρτη, η PRODAFT δημοσίευσε τα αποτελέσματα μιας έρευνας για την ομάδα Wizard Spider, η οποία πιστεύεται ότι είτε σχετίζεται είτε συνεργάζεται με τις ομάδες hacking Grim Spider και Lunar Spider.

Δείτε επίσης: Ποιοι είναι οι δέκα κορυφαίοι φορείς επιθέσεων αρχικής πρόσβασης

Σύμφωνα με την εταιρεία κυβερνοασφάλειας, η ομάδα Wizard Spider, πιθανότατα ρωσικής καταγωγής, διαχειρίζεται μια υποδομή που αποτελείται από ένα «σύνθετο σύνολο υποομάδων και ομάδων, [..] έχει τεράστιους αριθμούς παραβιασμένων συσκευών υπό την εντολή της και απασχολεί ένα “highly distributed professional workflow” για τη διατήρηση της ασφάλειας και ενός υψηλού λειτουργικού ρυθμού.”

Οι σημερινές πιο εξελιγμένες κυβερνοεγκληματικές επιχειρήσεις, είτε για καθαρό κέρδος είτε για κρατικά συμφέροντα — όπως συμβαίνει με πολλές ομάδες advanced persistent threat (APT) — συχνά λειτουργούν με επιχειρηματικά μοντέλα. Αυτό περιλαμβάνει την πρόσληψη κορυφαίων ταλέντων και τη δημιουργία ενός οικονομικού πλαισίου για την κατάθεση, τη μεταφορά και το ξέπλυμα εσόδων.

Δείτε επίσης: Η NVIDIA διορθώνει δέκα ευπάθειες στους display drivers Windows GPU

Στην περίπτωση της ομάδας Wizard Spider, αυτό σημαίνει ότι θα επιστρέψει μέρος των κερδών του στην ανάπτυξη με επενδύσεις σε εργαλεία και λογισμικό και θα πληρώσει για νέες προσλήψεις. Η έκθεση προτείνει ότι η ομάδα έχει «εκατοντάδες εκατομμύρια δολάρια σε assets».

Η PRODAFT λέει ότι η ομάδα Wizard Spider εστιάζει στην παραβίαση εταιρικών δικτύων και «έχει σημαντική παρουσία σχεδόν σε κάθε ανεπτυγμένη χώρα στον κόσμο, καθώς και σε πολλές αναδυόμενες οικονομίες».

Στα θύματα περιλαμβάνονται εργολάβοι άμυνας, επιχειρήσεις επιχειρήσεων, πωλητές εφοδιαστικής αλυσίδας, νοσοκομεία και πάροχοι κρίσιμων υπηρεσιών κοινής ωφέλειας.

Οι επιθέσεις της ομάδας Wizard Spider τείνουν να ξεκινούν μέσω spam και phishing χρησιμοποιώντας το QBot και τον proxy SystemBC. Η ομάδα μπορεί επίσης να διεισδύσει σε επιχειρήσεις μέσω παραβιασμένων email threads μεταξύ εργαζομένων σε προγράμματα Business Email Compromise (BEC).

Μόλις παρουσιαστεί μια ρωγμή στην πόρτα, η ομάδα θα αναπτύξει το Cobalt Strike και θα προσπαθήσει να “αρπάξει” τα δικαιώματα domain administrator. Το στέλεχος Conti ransomware αναπτύσσεται, τα μηχανήματα και οι hypervisor servers κρυπτογραφούνται και δημιουργείται ένα ransomware demand.

Η διαχείριση των θυμάτων γίνεται μέσω ενός locker control panel.

Wizard Spider

Το Wizard Spider χρησιμοποιεί και virtual private networks (VPNs) και proxies για να κρύψει τα ίχνη του. Ωστόσο, η ομάδα έχει επίσης επενδύσει σε ορισμένα ασυνήθιστα εργαλεία, συμπεριλαμβανομένων συστημάτων VoIP και υπαλλήλων cold calling που καλούν τα θύματα για να τα φοβίσουν για να πληρώσουν μετά από ένα περιστατικό ασφαλείας.

Αυτή είναι μια τακτική που χρησιμοποιήθηκε στο παρελθόν και από άλλες ομάδες ransomware, συμπεριλαμβανομένων των Sekhmet, Maze και Ryuk. Η Coveware υποπτεύεται ότι αυτού του είδους η εργασία «call center» μπορεί να ανατίθεται σε εξωτερικούς συνεργάτες από εγκληματίες του κυβερνοχώρου, καθώς τα templates και τα scripts που χρησιμοποιούνται είναι συχνά «τα ίδια».

Δείτε επίσης: WordPress: Εκατομμύρια επιθέσεις στοχεύουν το Tatsu Builder plugin

Ανακαλύφθηκαν επίσης αρκετοί servers εισβολής που περιείχαν μια κρυφή μνήμη τακτικών, τεχνικών, exploits, πληροφοριών cryptocurrency wallet και κρυπτογραφημένα αρχεία .ZIP που περιείχαν σημειώσεις που έγιναν και κοινοποιήθηκαν από ομάδες επίθεσης.

«Η ομάδα Wizard Spider έχει αποδειχθεί ικανή να δημιουργεί έσοδα από πολλές πτυχές των λειτουργιών της», λέει η PRODAFT.

Πηγή πληροφοριών: zdnet.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS