0
0
“Em algum momento, os cibercriminosos russos e da Europa de Leste começarão a pensar: ‘Por que estou gastando todo esse tempo e dinheiro configurando infraestrutura e contratando desenvolvedores de malware quando eu posso simplesmente enviar um email a alguém? dinheiro, e eles farão isso. ‘”
Por mais de um ano, essa é uma linha que usamos repetidamente, esperando que alguns dos cibercriminosos mais perigosos do mundo entrem no mundo do business email comprometer (BEC) porque o retorno do investimento para ataques básicos de engenharia social é muito mais alto do que ataques sofisticados baseados em malware.
Hoje, nosso recém-lançado dossiê de ator de ameaças mostra como essas expectativas se tornaram realidade, detalhando uma organização criminosa russa que chamamos de Cosmic Lynx.
Os ataques do BEC se tornaram a ameaça cibernética predominante que as empresas enfrentam atualmente. Desde 2016, as empresas perderam pelo menos US $ 26 bilhõescomo resultado de ataques do BEC e, com base no relatório mais recente do FBI IC3 , as perdas dos ataques do BEC cresceram outros 37% em 2019, representando 40% de todas as perdas por crimes cibernéticos ao longo de o ano. As evidências de que grupos de ameaças mais sofisticados estão adicionando o BEC ao seu repertório de ataques devem preocupar todos. Diferentemente dos grupos BEC tradicionais, o Cosmic Lynx demonstrou a capacidade de desenvolver ataques muito mais complexos e criativos que os diferencia de outros ataques BEC mais genéricos que vemos todos os dias.
Observamos mais de 200 campanhas da BEC vinculadas ao Cosmic Lynx desde julho de 2019, visando indivíduos em 46 países em seis continentes. Ao contrário da maioria dos grupos BEC que são relativamente independentes em relação ao alvo, o Cosmic Lynx tem um perfil de alvo claro: grandes organizações multinacionais. Quase todas as organizações que a Cosmic Lynx tem como alvo têm uma presença global significativa e muitas delas são empresas da Fortune 500 ou Global 2000.
Mapa dos alvos do Cosmic Lynx
Os funcionários-alvo da Cosmic Lynx são executivos de nível sênior. Como outros grupos BEC, parece que o Cosmic Lynx identifica os funcionários a serem segmentados com base em seu título. Três quartos dos funcionários visados pela Cosmic Lynx possuem os títulos de vice-presidente, gerente geral ou diretor administrativo.
Títulos segmentados por Cosmic Lynx.
O Cosmic Lynx emprega um esquema de dupla representação. O pretexto de seus ataques é que a organização-alvo está se preparando para fechar uma aquisição com uma empresa asiática como parte de uma expansão corporativa. Primeiro, eles personificam o CEO de uma empresa, pedindo ao funcionário-alvo que trabalhe com “assessoria jurídica externa” para coordenar os pagamentos necessários para fechar a aquisição. Em seguida, a Cosmic Lynx seqüestra a identidade de um advogado legítimo em um escritório de advocacia com sede no Reino Unido, cujo trabalho é facilitar a transação.
Exemplo de email inicial do Cosmic Lynx.
O estágio final de um ataque do Cosmic Lynx BEC é obter o objetivo de enviar um ou mais pagamentos para contas de mula controladas pelo grupo. Enquanto a quantidade média solicitada na maioria dos ataques de personificação executiva do BEC é de US $ 55.000 , a solicitação média de ataques do Cosmic Lynx é de US $ 1,27 milhão. A Cosmic Lynx prefere usar contas de mulas em Hong Kong para receber fundos roubados. O grupo é ativamente resistente ao uso de contas de mulas nos Estados Unidos, mas forneceu contas secundárias localizadas na Hungria, Portugal e Romênia.
Conta de mula de Hong Kong fornecida pela Cosmic Lynx.
Embora a grande maioria dos ataques do BEC use contas gratuitas de webmail ou domínios registrados para enviar emails mal-intencionados, o Cosmic Lynx explora os controles do DMARC para falsificar os endereços de email dos CEOs personificados, tornando seus ataques muito mais autênticos. Para organizações que implementaram uma política estabelecida do DMARC definida para rejeitar (p = rejeitar) ou quarentena (p = quarentena), o Cosmic Lynx modifica o nome de exibição que representa um CEO para incluir seu endereço de email, o que ainda dá a aparência de que o email é provenientes da conta do CEO.
Emails falsificados (no topo) vs. não falsificados (no fundo) Cosmic Lynx.
Os domínios registrados pelo Cosmic Lynx são nomeados de maneira a imitar o email seguro e a infraestrutura de rede (por exemplo, secure-mail-gateway [.] Cc, encrypted-smtp-transport [.] Cc, mx-secure-net [.] Com) . A caixa de correio referenciada em um endereço de email do Cosmic Lynx geralmente faz referência a corpos celestes, como planetas e estrelas – daí o “Cosmic” no Cosmic Lynx – semelhante à convenção de nomes de alguns servidores de nomes SMTP ou DNS.
Para tornar sua infraestrutura mais resistente e mascarar sua identidade nos registros Whois, a Cosmic Lynx registrou vários de seus domínios no NiceVPS, um provedor de hospedagem anônimo e hospedagem à prova de balas. A infraestrutura da Cosmic Lynx também foi vinculada a outros tipos de atividades maliciosas, incluindo Trojans bancários Emotet e Trickbot, malware de fraude de clique no Android, um mercado popular de cartões e sites de documentos falsos na Rússia.
Página inicial do NiceVPS.
Para se proteger contra ameaças como essas, primeiro as organizações precisam entender e aceitar o estado do cenário atual de ameaças cibernéticas. Atualmente, a maioria das ameaças baseadas em email, como os ataques BEC, são ataques de engenharia social muito simples que são tecnicamente pouco sofisticados. Para se proteger efetivamente contra essas ameaças, as empresas precisam garantir defesas equipadas para detectar ataques de fraude de identidade que os filtros de entrada tradicionais não estão acostumados a manipular. Além disso, as organizações devem ter bons processos internos, para que as solicitações de pagamento, independentemente da origem, sejam verificadas antes de serem processadas.
Para obter mais informações sobre o Cosmic Lynx e para encontrar indicadores de comprometimento (IOCs) associados aos ataques anteriores, faça o download do relatório completo .
FONTE: AGARI