Drei verschiedene Ableger des berüchtigten Conti-Cybercrime-Kartells haben auf die Technik des Call-Back-Phishings zurückgegriffen, um sich Zugang zu den Zielnetzwerken zu verschaffen.
„Drei autonome Bedrohungsgruppen haben inzwischen unabhängig voneinander ihre eigenen gezielten Phishing-Taktiken entwickelt, die von der Call-Back-Phishing-Methode abgeleitet sind“, so das Cybersecurity-Unternehmen AdvIntel in einem Bericht vom Mittwoch.
Diese gezielten Kampagnen haben die Zahl der Angriffe auf Unternehmen im Finanz-, Technologie-, Rechts- und Versicherungssektor „erheblich gesteigert“, so das Unternehmen weiter.
Zu den fraglichen Akteuren gehören Silent Ransom, Quantum und Roy/Zeon, die sich alle von Conti abgespalten haben, nachdem letzteres im Mai 2022 seine Schließung veranlasst hatte, nachdem es Russland im laufenden russisch-ukrainischen Konflikt öffentlich unterstützt hatte.
Die fortschrittliche Social-Engineering-Taktik, die auch BazaCall genannt wird, geriet 2020/2021 ins Rampenlicht, als sie von den Betreibern der Ransomware Ryuk eingesetzt wurde, die später in Conti umbenannt wurde.
Es heißt, dass die Software im Mai erheblich verbessert wurde, etwa zur gleichen Zeit, als das Conti-Team damit beschäftigt war, eine organisationsweite Umstrukturierung zu koordinieren und dabei die Bewegungen einer aktiven Gruppe zu simulieren.
Der Phishing-Angriff ist auch insofern einzigartig, als er auf bösartige Links oder Anhänge in E-Mails verzichtet und stattdessen Telefonnummern anzeigt, die die Empfänger anrufen sollen, um sie auf eine bevorstehende Belastung ihrer Kreditkarte für ein Premium-Abonnement aufmerksam zu machen.
Fällt ein Empfänger auf die Masche herein und ruft die in der E-Mail angegebene Telefonnummer an, versucht eine echte Person aus einem betrügerischen Callcenter, das von den Betreibern von BazaCall eingerichtet wurde, das Opfer davon zu überzeugen, dem Kundendienstmitarbeiter Remote-Desktop-Kontrolle zu gewähren, um das angebliche Abonnement zu kündigen.
Mit dem Zugriff auf den Desktop unternimmt der Bedrohungsakteur heimlich Schritte, um das Netzwerk des Benutzers zu infiltrieren und die Persistenz für Folgeaktivitäten wie die Datenexfiltration herzustellen.
„Call-Back-Phishing war die Taktik, die eine weit verbreitete Verschiebung des Ransomware-Einsatzes ermöglichte“, sagte AdvIntel und fügte hinzu: „Der Angriffsvektor ist in die Tradition der Conti-Organisation eingebettet.
Silent Ransom, die erste Conti-Untergruppe, die sich im März 2022 von der Cybercrime-Bande absetzte, wurde seitdem mit Datenerpressungsangriffen in Verbindung gebracht, nachdem sie sich zunächst über E-Mails zum Ablauf von Abonnements Zugang verschafft hatte, in denen behauptet wurde, die Nutzer/innen würden über ausstehende Zahlungen für Zoho Masterclass und Duolingo-Dienste informiert.
„Diese Angriffe können als Datenerpressungsangriffe kategorisiert werden, bei denen das Hauptaugenmerk der Gruppe darauf liegt, sich Zugang zu sensiblen Dokumenten und Informationen zu verschaffen und eine Zahlung zu verlangen, um die Veröffentlichung der gestohlenen Daten zu verhindern“, beschrieb Sygnia letzten Monat das Infektionsverfahren.
Das israelische Cybersicherheitsunternehmen verfolgt die Aktivitäten von Silent Ransom unter dem Namen Luna Moth.
Quantum und Roy/Zeon sind die beiden anderen Conti-Ableger, die ab Juni 2022 den gleichen Ansatz verfolgen. Während Quantum in die verheerenden Ransomware-Angriffe auf die Netzwerke der costaricanischen Regierung im Mai verwickelt ist, besteht Roy/Zeon aus Mitgliedern, die „für die Erstellung von Ryuk selbst verantwortlich sind.“
„Da die Bedrohungsakteure die Möglichkeiten von waffenartigen Social-Engineering-Taktiken erkannt haben, ist es wahrscheinlich, dass diese Phishing-Operationen im Laufe der Zeit immer ausgefeilter, detaillierter und schwieriger von legitimer Kommunikation zu unterscheiden sein werden“, so die Forscher.
Die Ergebnisse kommen zu einem Zeitpunkt, an dem das Cybersicherheitsunternehmen Dragos bekannt gab, dass die Zahl der Ransomware-Angriffe auf industrielle Infrastrukturen von 158 im ersten Quartal 2022 auf 125 im zweiten Quartal zurückgegangen ist.
Das ist aber noch nicht alles. Das Blockchain-Analyseunternehmen Elliptic hat diese Woche aufgedeckt, dass die inzwischen aufgelöste Conti-Gruppe zwischen April 2021 und Juli 2022 mehr als 53 Millionen US-Dollar an Kryptoguthaben über RenBridge gewaschen hat, eine Cross-Chain-Brücke, die den Transfer von virtuellen Geldern zwischen Blockchains ermöglicht.