Phishing na życzenie. Hakerzy zaatakowali nawet 60 tys. kont Microsoft 365

Grupa cyberprzestępcza W3LL odpowiada za stworzenie i wypuszczenie na czarny internetowy rynek oprogramowania do realizacji kampanii phishingowych, które posłużyło do ataku na niemal 60 tys. kont w usłudze Microsoft 365 - twierdzą badacze cyberbezpieczeństwa związani z firmą Group-IB.

Oprogramowanie posłużyło do cyberataków w ciągu ostatnich 10 miesięcy, z których sukcesem zakończyło się ok. 8 tys. prób nielegalnego uzyskania dostępu do atakowanych kont.

Aktywność grupy W3LL nie była wcześniej rejestrowana - podaje serwis CyberScoop.

Jak korzystano z narzędzi?

Hakerzy z grupy W3LL stworzyli narzędzia, które można było dostosowywać do potrzeb cyberprzestępców chcących łatwo prowadzić ataki phishingowe. Łącznie w ofercie gangu znajdowało się 16 narzędzi, które razem pozwalają na bardzo zaawansowane możliwości i są całkowicie z sobą kompatybilne - twierdzą eksperci z Group-IB.

Badacze uważają, że na podstawie czarnorynkowej oferty hakerów można zidentyfikować, jak wielu cyberprzestępców korzystało z ich narzędzi i w jak wielu są wykorzystywane atakach, a także spróbować oszacować liczbę atakowanych z ich użyciem ofiar. Wartość szkód, które można wygenerować atakując za pomocą takiego oprogramowania, może być liczona w setkach tysięcy, a nawet milionach dolarów - podkreślają specjaliści.

Analiza, którą przeprowadzili, wykazała istnienie co najmniej 585 witryn phishingowych, do których były podłączone narzędzia grupy W3LL.

Ofiarami są przede wszystkim osoby z USA, Zjednoczonego Królestwa, Australii, Niemiec, Francji, Włoch, Szwajcarii i Niderlandów. Cele zlokalizowane są jednak także w innych krajach - to, co łączy ofiary, to branże. Hakerzy korzystający z narzędzi W3LL atakują przede wszystkim branżę produkcyjną, IT, usługi finansowe, ochronę zdrowia i inne sektory przetwarzające dużo danych o wysokiej wartości.

Phishing jako usługa

Narzędzia grupy dostępne są na czarnym internetowym rynku w ramach tzw. W3LL Store ("sklepu" tego cybergangu). Oferował on rozwiązania dla atakujących na każdym poziomie umiejętności technicznych, którzy chcieli podjąć próby działań o charakterze phishingowym ukierunkowanych przeciwko biznesowi (i atakujących właśnie takie usługi cyfrowe).

Oprócz narzędzi w "Sklepie W3LL" można kupić listy adresów e-mail, dostęp do już naruszonych serwerów i stron internetowych, rozmaite przynęty socjotechniczne, konta w sieciach VPN oraz dostęp do skompromitowanych kont e-mail.

Ze sklepu można skorzystać tylko i wyłącznie z polecenia już istniejących użytkowników. Ci z kolei, aby zdobyć dostęp do narzędzi, musieli wykupić subskrypcję na okres 3 miesięcy za cenę 500 dolarów, odnawialną później w cenie 150 dolarów za miesiąc - pisze CyberScoop.

Jak zauważają cytowani przez redakcję eksperci, istnienie takiego "sklepu" jest bardzo martwiące - znacznie obniża on próg wejścia do cyberprzestępczości, pozwalając na prowadzenie zaawansowanych działań ofensywnych każdemu - praktycznie niezależnie od jego umiejętności technicznych.