Cyberbezpieczeństwo
„Pełnoetatowa firma phishingowa”. Ujawniono tajemnice grupy cyberprzestępczej Exotic Lily
Badacze Google dotarli do cybergrupy, która wykorzystuje phishing do infiltracji sieci firm w celu przestępczej działalności. Grupa Analizy Zagrożeń Google (TAG) pokazała sposób działania cyberprzestępców Exotic Lily, którzy byli pośrednikami zarówno gangu ransomware Conti, jak i Diavol.
Analiza badaczy Google'a ujawniła biznesowe podejście grupy do pośredniczenia w początkowym dostępie do sieci organizacji za pomocą szeregu taktyk. Hakerzy ransomware mają tendencję do przyciągania uwagi, ale nie mogą działać bez uprzedniego uzyskania dostępu do sieci organizacji. Dlatego często to zadanie tak zwanych brokerów początkowego dostępu (IAB).
Google TAG po raz pierwszy zetknął się z Exotic Lily we wrześniu ubiegłego roku. Jego badacze - Vlad Stolyarov i Benoit Sevens - wskazali, że działalność taka jest pełnoetatowym biznesem „ściśle powiązanym z eksfiltracją danych i wdrażaniem oprogramowania ransomware obsługiwanego przez człowieka, takiego jak Conti i Diavol”.
Czytaj też
W szczytowym momencie działalności grupy Exotic Lily — która według badaczy współpracuje z rosyjskim gangiem cyberprzestępczym znanym jako FIN12, Wizard Spider lub DEV-0413 — wysyłała ponad 5000 maili dziennie do aż 650 docelowych organizacji na całym świecie.
„Do listopada 2021 r. grupa wydawała się atakować określone branże, takie jak IT, cyberbezpieczeństwo i opieka zdrowotna, ale ostatnio widzieliśmy, jak atakują różnorodne organizacje i branże, z mniej konkretnym ukierunkowaniem” – napisali badacze w poście.
„To praca na pełny etat”
Exotic Lily działałałoby de facto jako pełnoetatowe przedsiębiorstwo zajmujące się cyberprzestępczością, gdyby była to legalna firma. Jej operatorzy „pracują w dość typowych godzinach od 9:00 do 17:00, z bardzo małą aktywnością w weekendy” – napisali badacze. Godziny pracy wskazują, że grupa prawdopodobnie działa poza strefą czasową Europy Środkowo-Wschodniej.
Czytaj też
Taktyka grupy obejmowała początkową działalność polegającą na tworzeniu fałszywych osobowości internetowych — w tym profili w mediach społecznościowych ze zdjęciami generowanymi przez sztuczną inteligencję, podszywających się zarówno pod użytkowników, jak i domeny firmowe, które miały wyglądać autentycznie podczas przeprowadzania phishingu.
Jednak główną działalnością firmy Exotic Lily jest wykorzystywanie sfałszowanych kont e-mail do wysyłania wiadomości typu spear-phishing. Często udają one, że są propozycją biznesową, taką jak dążenie do outsourcingu projektu rozwoju oprogramowania lub usługi bezpieczeństwa informacji.
/JR
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.