Gangue Russa usa BEC para atacar executivos de empresas multinacionais

Gangue Russa usa BEC para atacar executivos de empresas multinacionais. Group atingiu executivos de empresas em mais de 40 países. 

Segundo ISMG, uma gangue de comprometimento de e-mail comercial da Rússia, recentemente descoberta, tem como alvo centenas de grandes empresas multinacionais em mais de 40 países desde 2019, de acordo com a empresa de segurança Agari.

A quadrilha, que Agari chama de Cosmic Lynx, usa uma combinação de técnicas de engenharia social e mensagens de email bem criadas, projetadas para atingir o escalão superior dos executivos, observa o relatório. Os pesquisadores acreditam que o grupo realizou cerca de 200 desses tipos de esquemas, com alguns ainda continuando em junho.

Em cerca de três quartos dos ataques do BEC examinados, Agari descobriu que a quadrilha tinha como alvo aqueles com títulos como vice-presidente, gerente geral ou diretor administrativo.

Em muitos casos, o Cosmic Lynx tem como alvo organizações que não possuem proteções de segurança e verificações de autenticação, como Autenticação de Mensagens, Relatórios e Conformidade com base em Domínio – ou DMARC. A gangue geralmente envia e-mails que falsificam o perfil do CEO, de acordo com o relatório.

Os ataques do BEC se tornaram a ameaça cibernética predominante que as empresas enfrentam atualmente. Desde 2016, as empresas perderam pelo menos US $ 26 bilhões como resultado dos ataques do BEC e, com base no relatório mais recente do FBI IC3 , as perdas dos ataques do BEC cresceram outros 37% em 2019, representando 40% de todas as perdas por crimes cibernéticos ao longo de o ano. As evidências de que grupos de ameaças mais sofisticados estão adicionando o BEC ao seu repertório de ataques devem preocupar a todos. Diferentemente dos grupos BEC tradicionais, o Cosmic Lynx demonstrou a capacidade de desenvolver ataques muito mais complexos e criativos que os diferencia de outros ataques BEC mais genéricos que vemos todos os dias.

Os pesquisadores da Aguari observaram mais de 200 campanhas do BEC vinculadas ao Cosmic Lynx desde julho de 2019, visando indivíduos em 46 países em seis continentes. Ao contrário da maioria dos grupos BEC que são relativamente independentes em relação ao alvo, o Cosmic Lynx tem um perfil de alvo claro: grandes organizações multinacionais. Quase todas as organizações que a Cosmic Lynx tem como alvo têm uma presença global significativa e muitas delas são empresas da Fortune 500 ou Global 2000.

Mapa dos alvos do Cosmic Lynx

Os funcionários-alvo da Cosmic Lynx são executivos de nível sênior. Como outros grupos BEC, parece que o Cosmic Lynx identifica os funcionários a serem segmentados com base em seu título. Três quartos dos funcionários visados ​​pela Cosmic Lynx possuem os títulos de vice-presidente, gerente geral ou diretor administrativo.

Títulos segmentados por Cosmic Lynx.

O Cosmic Lynx emprega um esquema de dupla representação. O pretexto de seus ataques é que a organização-alvo está se preparando para fechar uma aquisição com uma empresa asiática como parte de uma expansão corporativa. Primeiro, eles personificam o CEO de uma empresa, pedindo ao funcionário-alvo que trabalhe com “consultores jurídicos externos” para coordenar os pagamentos necessários para fechar a aquisição. Em seguida, a Cosmic Lynx seqüestra a identidade de um advogado legítimo em um escritório de advocacia com sede no Reino Unido, cujo trabalho é facilitar a transação.

O estágio final de um ataque do Cosmic Lynx BEC é obter o objetivo de enviar um ou mais pagamentos para contas de mulas controladas pelo grupo. Embora o valor médio solicitado na maioria dos ataques de personificação de executivos do BEC seja de US $ 55.000, o pedido médio de ataque do Cosmic Lynx é de US $ 1,27 milhões “, segundo o relatório.

Devido a uma investigação em andamento, o relatório da Agari não ofereceu detalhes específicos sobre as empresas alvo do grupo, mas os pesquisadores estimam que as perdas totais causadas por esses esquemas de BEC podem exceder US $ 400 milhões.

Táticas

Os fraudadores do Cosmic Lynx conduzem pesquisas usando serviços comerciais para desenvolver uma lista de indivíduos para receber seus emails que personificam outros executivos e começam a manipular informações, de acordo com o relatório. Eles criaram métodos para ignorar ferramentas de proteção de email, como o DMARC.

Para organizações que implementaram uma política DMARC estabelecida para rejeitar (p = rejeitar) ou quarentena (p = quarentena), o Cosmic Lynx modifica o nome de exibição que representa um CEO para incluir seu endereço de email, o que ainda dá a aparência de que o email vem da conta do CEO “, observa Crane Hassold, diretor sênior de pesquisa de ameaças da Agari, no relatório.

A quadrilha também envia e-mails de domínios projetados para se parecerem com escritórios de advocacia legítimos do Reino Unido e geralmente são hospedados em provedores de domínio à prova de balas ou anônimos, de acordo com o relatório. O objetivo, observa o relatório, é ajudar a manter a aparência de um acordo de aquisição em andamento.

Rússia Gravatas

O relatório da Agari observa que o Cosmic Lynx parece ser um dos primeiros grupos organizados da Rússia a se expandir para a fraude no BEC.

Os pesquisadores identificaram vários recursos na infraestrutura do Cosmic Lynx, vinculando seus operadores a atores russos. Isso inclui a infraestrutura do Cosmic Lynx que se sobrepõe aos malwares Trickbot e Emotet, que se acredita serem usados ​​por grupos russos, observa o relatório.

Além dessas conexões em potencial, também observamos várias instâncias em que os endereços IP vinculados ao domínio BEC da Cosmic Lynx se sobrepõem à infraestrutura usada para hospedar sites russos de documentos falsos”, segundo o relatório. “Esses sites, que parecem atender a indivíduos na Rússia e na Ucrânia, vendem uma variedade de documentos falsos em russo, como diplomas, certidões de nascimento e certidões de óbito“.

Armen Najarian, diretor de identidade da Agari, observa no relatório: “O Cosmic Lynx representa o futuro dos anéis do crime organizado que estão mudando o foco para a fraude por e-mail projetada socialmente. A economia mais favorável dos esquemas projetados socialmente voltados para vítimas de empresas levou grupos como Cosmic Lynx para se concentrar na fraude de ransomware mais cara e menos lucrativa “.

Para se proteger contra ameaças como essas, primeiro as organizações precisam entender e aceitar o estado do cenário atual de ameaças cibernéticas. Atualmente, a maioria das ameaças baseadas em email, como os ataques BEC, são ataques de engenharia social muito simples que são tecnicamente pouco sofisticados. Para se proteger efetivamente contra essas ameaças, as empresas precisam garantir defesas adequadas para detectar ataques de fraude de identidade que os filtros de entrada tradicionais não estão acostumados a manipular. Além disso, as organizações devem ter bons processos internos, para que as solicitações de pagamento, independentemente da origem, sejam verificadas antes de serem processadas.

Conscientização

A MindSec, proprietária do Blog minuto da Segurança, possui disponível e oferece a seus clientes treinamentos online de segurança da informação e orientação que podem ser direcionadas aos executivos para concientizar dos perigos dos ataques BEC e outros, além de oferecer produtos com a ferramenta de emaill gateway Proofpoint e HSC que possuem proteções avançadas contra ataques de phishing direcionados. Contate-nos e conheça mais sobre a MindSec e as soluções de segurança disponíveis para a sua empresa.

Fonte: ISMG & Agari

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!