A empresa de segurança cibernética CrowdStrike detalha ataques de phishing que afirmam vir de empresas de segurança – incluindo a própria Crowdstrike.

Criminosos cibernéticos descarados agora estão se passando por empresas de segurança cibernética em mensagens de phishing que afirmam que o destinatário foi atingido por um ataque cibernético e que eles devem responder com urgência para proteger sua rede.

Mas se o destinatário responder, corre o risco de abrir a porta para hackers e pode ver seus sistemas comprometidos com malware, ransomware e outras ameaças cibernéticas perigosas.

A campanha de phishing foi detalhada por pesquisadores da CrowdStrike , que é uma das várias empresas de segurança cibernética que estão sendo representadas por criminosos cibernéticos para induzir as vítimas a ligar para uma linha de apoio falsa que incentiva a vítima a fornecer acesso remoto à sua rede. A CrowdStrike não detalhou as outras empresas de segurança cibernética que estão sendo personificadas.
A mensagem afirma ser do "fornecedor terceirizado de serviços de segurança de dados da sua empresa" e sugere que "atividade anormal" e um "comprometimento potencial" foram descobertos na rede como parte de uma "auditoria diária de rede".

Ele sugere que o provedor de segurança cibernética já está lidando com a equipe de segurança da informação da empresa, mas que eles também foram instruídos a entrar em contato com os funcionários sobre suas próprias máquinas e que é "altamente necessário" que a pessoa que recebe o e-mail responda ao mensagem.

A pessoa que recebe o e-mail recebe um número de caso de incidente e é instruída a ligar para um número de telefone específico para organizar a auditoria. O exemplo detalhado pela CrowdStrike também apresenta uma marca precisa.

A CrowdStrike descreve isso como "phishing de retorno de chamada" porque quando a vítima liga para o número, ela está conectada a um operador que tentará convencê-la a instalar ferramentas de administração remota (RATs) para obter acesso à rede. Embora a vítima possa acreditar que um RAT – uma ferramenta usada para fins legítimos por muitas equipes de TI – está sendo instalado para combater uma infecção, eles estão, na verdade, apenas permitindo que um criminoso cibernético obtenha acesso inicial à rede para exploração futura.

“Esta é a primeira campanha de retorno de chamada identificada representando entidades de segurança cibernética e tem maior potencial de sucesso, dada a natureza urgente das violações cibernéticas”, disse a CrowdStrike em um post no blog .

Os pesquisadores não conseguiram identificar exatamente o que os criminosos por trás dessa campanha específica de engenharia social e phishing estão fazendo, mas observam que uma campanha semelhante identificada em março deste ano instalou software de acesso remoto para fornecer movimento lateral em redes e instalar malware.

O provável objetivo final dos criminosos cibernéticos por trás desses ataques de phishing é monetizar o acesso que eles enganaram as vítimas, potencialmente com ataques de ransomware. Esses ataques podem ser feitos pelos próprios criminosos cibernéticos que criptografam a rede com ransomware ou podem vender o acesso à rede infectada para grupos de ransomware .

“A CrowdStrike nunca entrará em contato com os clientes dessa maneira”, disse a empresa – e quem receber um e-mail como esse deve encaminhá-lo ao provedor de segurança cibernética para investigar.

Fonte: ZDNet