Rast email bombinga: Kako se zaštititi od cyber prijetnji
U posljednje vrijeme, svijet cyber sigurnosti suočava se s novim valom napada koji uključuju email bombing. Prema istraživačima cyber sigurnosti iz Sophos X-Ops, najmanje dvije grupe prijetnji aktivno provode kampanje bombardiranja emailovima usmjereno na brojne organizacije na zapadu. Njihov cilj? Ukrasti podatke i instalirati ransomware.
Što je email bombing?
Email bombing nije nova taktika u svijetu cyber kriminala. U osnovi, napadači bombardiraju svoju žrtvu stotinama, pa čak i tisućama emailova u vrlo kratkom vremenu. Nakon što izazovu kaos, napadači se koriste lažnim identitetima, obično se predstavljajući kao IT administratori ili tehnička podrška. Korištenjem alata poput Microsoft Teamsa, oni nude pomoć da bi se infiltrirali u sustav žrtve.
Kako napadači djeluju?
- Nakon bombardiranja emailom, napadači se obraćaju žrtvi putem Microsoft Teamsa ili sličnih online alata.
- Predlažu rješenje problema, što zvuči uvjerljivo.
- Ako žrtva prihvati njihovu pomoć, napadači traže pristup alatima kao što su Quick Assist ili dijeljenje ekrana preko Microsoft Teamsa.
- Nakon što dobiju pristup, brzo instaliraju ransomware.
U posljednja tri mjeseca, istražitelji su zabilježili više od 15 incidenata, a polovica je nastala u samo posljednjih dva tjedna, što ukazuje na to da napadači ubrzano djeluju.
Identitet prijetnji
Premda Sophos X-Ops nije s potpunim uvjerenjem povezao ove napade s određenim grupama, naveli su da su otkrili veze između jednog od napadača i Fin7 – poznate ruske grupe motivirane financijskim profitom. Druga grupa navodno je povezana sa Storm-1811, koja koristi sofisticirane socijalne inženjerske napade kako bi implementirala Black Basta ransomware.
Savjeti za poduzeća
Prema Seanu Gallagheru, glavnom istražitelju prijetnji u Sophosu, ključni problem leži u tome što zadana konfiguracija Teamsa omogućuje osobama izvan organizacije da komuniciraju s internim osobljem. Mnoge tvrtke koriste upravljane usluge za IT podršku, što može dovesti do situacije gdje pozivi od nepoznatih osoba, označeni kao „Menadžer korisničke podrške“, ne izazovu sumnju, posebno kada su povezani s velikim brojem spam emailova.
Gallagher ističe: “Kako Sophos i dalje bilježi nove slučajeve MDR i IR povezanih s ovim tehnikama, želimo da tvrtke koje koriste Microsoft 365 budu na visokom stupnju opreza. Trebali bi provjeriti konfiguracije unutar tvrtki, blokirati poruke izvanjskih računa ako je moguće i blokirati alate za udaljeni pristup koji se ne koriste redovito u organizaciji.”
Zaključak
Cyber sigurnost nikada nije bila važnija. Organizacije moraju ostati na oprezu, provoditi redovite provjere i obučavati zaposlenike o potencijalnim prijetnjama poput email bombinga. Budite proaktivni i zaštitite svoje podatke prije nego što bude prekasno.
