Grupul de Informații privind Amenințările (Threat Intelligence Group – TIG) al Google a emis un nou avertisment legat de un grup cibernetic periculos, cunoscut sub numele de UNC6040. Atacatorii folosesc metode de inginerie socială pentru a fura date, inclusiv acreditări sensibile, printr-o tehnică înșelătoare: determinarea utilizatorilor să răspundă la apeluri telefonice. Nu exploatează nicio vulnerabilitate tehnică, ci profită de încrederea umană. Campania este activă de câteva luni și continuă să reprezinte o amenințare reală, avertizează Google, scrie Forbes.
Potrivit unei postări publicate de TIG pe 4 iunie, grupul UNC6040 este motivat financiar și operează printr-o tactică simplă, dar eficientă: apeluri telefonice prin care se dau drept asistenți IT. Ținta este să convingă angajații să instaleze aplicații Salesforce falsificate – în special versiuni modificate ale Data Loader – care le oferă atacatorilor acces la date sensibile. Odată pătrunși într-o rețea, aceștia se pot deplasa lateral spre alte servicii cloud din companie.
Ținte și impact
Analiștii de la Google descriu UNC6040 drept un grup oportunist care a vizat mai multe industrii din SUA și Europa, inclusiv sectorul hotelier, retail și educație. Se crede că există o colaborare cu un al doilea grup care preia controlul rețelelor compromise pentru a le monetiza – deseori, extorcarea victimelor începe la câteva luni după compromiterea inițială.
Posibile legături cu rețeaua infracțională The Com
Raportul TIG sugerează o legătură între UNC6040 și gruparea UNC640, pe baza unor asemănări în infrastructura folosită. UNC640 este asociat cu o rețea infracțională mai largă numită The Com, descrisă de jurnalistul Brian Krebs ca o "rețea socială distribuită" pentru infractori cibernetici. Aceasta funcționează pe platforme precum Telegram și Discord, unde hackerii cooperează, fac schimb de informații și își etalează reușitele.
Totuși, cercetătorii Google recunosc că suprapunerile dintre tacticile folosite de UNC6040 și cele întâlnite în comunitățile The Com ar putea fi rezultatul unei simple coexistențe a actorilor pe aceleași platforme, fără o colaborare directă.
Recomandările Google pentru protecție
Pentru a reduce riscul atacurilor din partea UNC6040, Google recomandă companiilor următoarele măsuri:
-
Respectarea principiului privilegiului minim (acces doar la resursele necesare).
-
Gestionarea strictă a accesului la aplicațiile conectate.
-
Implementarea restricțiilor de acces bazate pe IP.
-
Folosirea funcționalităților avansate de securitate oferite de Salesforce Shield.
-
Activarea autentificării multi-factor (MFA) pentru toate conturile.
De asemenea, ca regulă generală de igienă cibernetică: nu răspundeți la apeluri din surse necunoscute. Dacă totuși răspundeți și vi se cere să luați măsuri legate de securitate sau IT, închideți imediat apelul și contactați departamentul IT prin canalele oficiale ale companiei.
Ştiri video recomandate
