FBI varuje pred novou taktikou hackerov. Nepotrebujú prelomiť ochranu, do firmy ich môže pustiť samotný zamestnanec
FBI varuje pred hackermi, ktorí sa vydávajú za IT podporu. Namiesto vírusu im stačí telefonát, dôvera zamestnanca a legálny nástroj na vzdialený prístup.
Hackeri zo skupiny Silent Ransom Group, známej aj pod menami Luna Moth či Chatty Spider, zmenili spôsob útokov na firmy. Namiesto klasického ransomvéru, ktorý zašifruje počítače a vypýta si výkupné, stavili na psychológiu, telefonáty a ľudskú dôveru. FBI teraz varovala, že skupina cieli najmä na právnické osoby, no rovnaký scenár môže fungovať prakticky kdekoľvek.
Najnebezpečnejšie na celej kampani je, že útočníci často nepoužijú žiadne špeciálne hackerské taktiky. Nepotrebujú komplikované vírusy ani sofistikované prelomenie zabezpečenia. Stačí im zamestnanec, ktorý uverí hlasu na druhej strane telefónu. FBI vysvetľuje, že práve tento fakt je najväčším rizikom novej kampane. Žiaden bezpečnostný systém totiž nedokáže zabrániť útoku, ktorý odsúhlasí zamestnanec ako akúkoľvek inú legitímnu požiadavku.
Skupina funguje minimálne od roku 2022. Najprv rozosielala phishingové e-maily o falošných predplatných alebo faktúrach. Správa tvrdila, že obeť musí zavolať na číslo podpory, ak chce zrušiť poplatok. Po telefonáte útočník presvedčil človeka, aby si nainštaloval program na vzdialený prístup.
Tento rok však skupina zašla ešte ďalej. Hackeri sa vydávajú priamo za firemných IT pracovníkov. Zavolajú zamestnancovi alebo pošlú e-mail s výzvou na kontaktovanie technickej podpory. Keď sa človek ozve, útočník vystupuje pokojne, profesionálne a presvedčivo.
Cieľ pritom ostal rovnaký, dostať sa do firemného počítača cez legálny vzdialený nástroj.
Neprehliadni
„Tieto útoky využívajú legitímne programy na správu počítačov, preto ich antivírus často nevyhodnotí ako hrozbu,“ upozornila FBI.
Hackerská skupina používa legitímne nástroje na vzdialený prístup
Hackeri pritom často používajú úplne bežné nástroje ako AnyDesk, RustDesk, Splashtop, Zoho Assist alebo Quick Assist od Microsoftu. Firmy ich denne využívajú na vzdialenú technickú podporu, takže ich aktivita na prvý pohľad nepôsobí podozrivo.
Ak sa telefonický trik nepodarí, skupina niekedy zvolí ešte agresívnejší postup. FBI uviedla, že útočníci v niektorých prípadoch dokonca poslali človeka priamo do firmy. Falošný IT pracovník následne tvrdil, že potrebuje vytvoriť zálohu alebo skontrolovať zariadenie po phishingovom incidente. Potom pripojil externý disk alebo USB zariadenie a skopíroval dáta priamo z počítača.
Práve tento detail robí z celej kampane niečo oveľa zvláštnejšie než bežný kyberútok. Keď hovoríme o nových metódach hackerov, len málokedy sa objaví situácia, kedy by kyberzločinec vykonal útok osobne.
Po získaní prístupu skupina neplytvá časom. Namiesto šifrovania dát okamžite začne s kopírovaním dokumentov. Útočníci využívajú nástroje WinSCP alebo Rclone a dáta nahrávajú do cloudových služieb ako Google Drive či Microsoft OneDrive. Až potom prichádza vydieranie.
Po získaní citlivých firemných informácií zločinci nestrácajú čas
Hackeri pošlú firme správu, v ktorej hrozia zverejnením alebo predajom ukradnutých dokumentov. Niekedy kontaktujú aj klientov firmy, aby zvýšili tlak na obeť. Skupina dokonca prevádzkuje vlastnú stránku, na ktorej zverejňuje ukradnuté dáta.
Najčastejšie skupina útočí na právnické kancelárie. FBI vysvetľuje, že práve advokátske firmy najčastejšie uchovávajú citlivé dokumenty, zmluvy, obchodné spory aj osobné údaje klientov. Únik takýchto dát preto môže spôsobiť obrovské reputačné aj finančné škody, čo obeť útoku viac núti vyhovieť útočníkom.
FBI upozornila, že útok po sebe často zanechá minimum stôp. Keďže hackeri používajú legitímne programy, klasický antivírus nemusí zachytiť nič podozrivé.
Varovným signálom môže byť napríklad nečakaná inštalácia vzdialeného softvéru, pripojenie externého disku alebo veľké množstvo dát odoslaných na cloudové úložiská. Podozrivo by mala pôsobiť aj situácia, keď sa neznámy človek pokúsi dostať do firmy pod zámienkou IT podpory.
„Zamestnanci dostávajú nevyžiadané telefonáty od ľudí, ktorí tvrdia, že pracujú v ich IT oddelení,“ uviedla FBI vo varovaní.
Kyberútoky už prestávajú byť o zložitom malvéri, viac sa sústredia na manipuláciu ľudí
Práve sociálne inžinierstvo dnes patrí medzi najsilnejšie hackerské zbrane. Útočníci totiž neútočia iba na technológie, ale hlavne na ľudský stres, rutinu a dôveru. Keď niekto zavolá s naliehavým tónom a tvrdí, že firme hrozí problém, veľa ľudí reaguje automaticky.
Zaujímavé je aj to, ako sa zmenil samotný ransomvér biznis. Kedysi hackeri počítače zašifrovali a firma okamžite vedela, že prišiel útok. Dnes môže únik dát prebiehať potichu celé hodiny bez jediného varovania na obrazovke.
FBI preto odporučila firmám zaviesť jasné pravidlá pre komunikáciu IT oddelenia, dôsledne overovať identitu návštevníkov a obmedziť možnosť inštalácie vzdialených nástrojov či externých diskov.
Dôležitú úlohu zohrá aj školenie zamestnancov. Moderný kyberútok už totiž často nezačne škodlivým vírusom, ale obyčajným telefonátom od človeka, ktorý znie dostatočne presvedčivo.
Bezpečnostní analytici ale varujú, že tentokrát nejde o konkrétne scenáre, ale o nový model útoku, ktorý môžu prevziať hackerské skupiny v Európe a kľudne aj u nás, stačí, aby tu hackeri mali niekoho, kto vie po slovensky. Keď ale budeš vopred oboznámený s tým, ako tento útok prebieha, dramaticky sa znižuje šanca, že na podobné praktiky naletíš.
