Исследование, проведенное провайдером решений по риску, Kroll, показало, что группе хакеров из России удалось подать мошеннические заявления на пособие по безработице в Департамент безопасности занятости штата Вашингтон или ESD с помощью вымогательной атаки на поставщика медицинских услуг в США.
Согласно исследованию, опубликованному 17 июня, фирма изучила журналы истории браузера, согласно которым киберпреступники, по сообщениям, переходили на различные учетные записи Gmail.Затем они активировали два профиля на сайте ESD, используя эти адреса электронной почты.
Международные организованные группы киберпреступности появляются на сцене
Атака вымогателей, начатая 12 мая, относится к категории Mamba, которая использует полное шифрование диска для атаки на своих жертв.Кролл обнаружил, что данные были связаны с жителями штата Вашингтон.
В отчете говорится, что собранная информация показывает, что существуют транснациональные организованные преступные группы, или ТОС, которые начинают широко распространенное мошенничество по страхованию от безработицы против жителей различных штатов США, в частности, Вашингтона и Массачусетса.
Гипотеза, как представляется, заключается в том, что киберпреступники, вероятно, используют украденные партии идентифицирующей личность информации с различных темных веб-рынков.
Кролл поясняет, что хакеры начали доступ к сети неизвестного поставщика медицинских услуг в конце апреля.Они говорят, что злоумышленники сначала предприняли неудачную атаку GoGoogle, вымогавшую программное обеспечение, которая была быстро нейтрализована ИТ-персоналом.
Мошенничество с безработицей в США продолжает расти
Беседуя с Cointelegraph, Николь Сетте, старший вице-президент по практике кибер-рисков Kroll и бывший аналитик по киберразведке ФБР, сказала, что вымогательство и мошенничество с безработицей, связанное с COVID, продолжают преследовать организации по всей территории Соединенных Штатов:
«В этом случае Кролл расследовал мошенничество с двумя вымогателями/мошенничеством с безработицей, которое выявило различные тактические приемы, методы и процедуры, используемые субъектами для монетизации сетей жертв. Мы по-прежнему видим, как киберпреступники совершают многоплановые вторжения, используя различные схемы для отвода PII, средств изапатентованные данные из сетей-жертв. Ключевым выводом из этого отчета является то, что субъекты киберугрозы будут использовать различные методы, чтобы воспользоваться своим доступом к сети во время события кибер-вторжения ».
Сетте также предоставил более подробную информацию о атаке вымогателей Mamba:
«Поскольку Mamba использовала полное шифрование диска, это другой метод атаки, который ИТ-специалистам было бы сложнее исправить. Mamba, как известно, использует протокол удаленного рабочего стола (RDP) для получения доступа к сетям-жертвам и может перемещаться по всей сети».
Настаивает на том, что Кролл считает, что во время пандемии COVID-19 атаки на вымогателей будут продолжать набирать обороты из-за возросших сетевых уязвимостей, связанных с расширением требований работы из дома, и «многие организации не смогли обеспечить безопасность своих RDP/VPN».
Недавние инциденты с вымогателями
Недавно сообщалось о другом исследовании Kroll, которое выявило растущую тенденцию использования трояна Qakbot, или Qbot.Известно, что этот троян запускает кампании по угону потоков электронной почты и атакует вымогателей.
28 мая команда безопасности Microsoft раскрыла новый тип вымогателей, которые используют «грубую силу» против сервера управления системами целевой компании.Он в основном был ориентирован на сектор здравоохранения в условиях кризиса COVID-19.