O grupo de piratas informáticos identificado como UNC6783 está a comprometer empresas de outsourcing para invadir os sistemas de corporações de alto valor em diversos setores. A tática foca-se na extração de dados sensíveis para posterior extorsão, contornando mecanismos de segurança estabelecidos, conforme revelado numa recente publicação no LinkedIn.
A tática de infiltração através do suporte técnico
Segundo a Google Threat Intelligence Group, os atacantes recorrem à engenharia social e a campanhas de phishing direcionadas a empresas que prestam serviços de apoio. Em alguns casos, entram diretamente em contacto com as equipas de suporte técnico das organizações alvo para tentar obter acesso direto à rede.
Através de chats ao vivo, os funcionários são encaminhados para falsas páginas de início de sessão da Okta. O kit de phishing utilizado consegue copiar o conteúdo da área de transferência para contornar a autenticação de múltiplos fatores (MFA), permitindo que os criminosos registem os seus próprios dispositivos no sistema da empresa. O grupo também distribui falsas atualizações de segurança com o objetivo de instalar malware de acesso remoto.
O rasto do Raccoon e o impacto nas empresas
O UNC6783 estará ligado a uma identidade online conhecida como Raccoon ou Mr. Raccoon. Este perfil assumiu a responsabilidade por uma invasão à Adobe, alegando ter acedido aos sistemas através de um fornecedor de apoio ao cliente na Índia. O atacante afirma ter instalado um troiano no computador de um funcionário e, de seguida, atacado o gestor da equipa com phishing, conseguindo roubar 13 milhões de pedidos de suporte, registos de funcionários, submissões na HackerOne e documentos internos. A Adobe ainda não confirmou o incidente.
O mesmo indivíduo garantiu ser o responsável pela invasão à Crunchyroll, embora não tenha apresentado provas a sustentar a afirmação. Após a recolha dos dados, as vítimas recebem exigências de pagamento por extorsão através de endereços do ProtonMail.
Como as organizações se podem proteger
Para travar esta vaga de invasões, a equipa da Mandiant recomenda a adoção de chaves de segurança FIDO2 para a autenticação de múltiplos fatores. É também aconselhada a monitorização rigorosa das ferramentas de comunicação e chats de apoio ao cliente, o bloqueio de domínios falsificados que imitem plataformas legítimas de suporte e a realização de auditorias regulares aos dispositivos que se encontram registados no sistema MFA.
Nenhum comentário
Seja o primeiro!