Οι Threat Actors προσλαμβάνουν Insiders σε Τράπεζες, Τηλεπικοινωνίες και Τεχνολογία από 3.000 $ έως 15.000 $ για πρόσβαση ή δεδομένα

Οι εγκληματίες του κυβερνοχώρου αλλάζουν τις τακτικές τους στρατολογώντας έμπιστους ανθρώπους εντός των οργανισμών αντί να βασίζονται σε παραδοσιακές μεθόδους επίθεσης όπως η ωμή βία ή η κοινωνική μηχανική.

Πρόσφατα ευρήματα δείχνουν ότι οι εργαζόμενοι σε τράπεζες, εταιρείες τηλεπικοινωνιών και εταιρείες τεχνολογίας προσεγγίζονται μέσω φόρουμ darknet για την πώληση πρόσβασης σε εταιρικά δίκτυα, συσκευές χρηστών και συστήματα cloud.

Οι πληρωμές για αυτές τις λειτουργίες κυμαίνονται από 3.000 $ έως 15.000 $, ανάλογα με τον τύπο πρόσβασης ή τις πληροφορίες που παρέχονται.

Αυτή η αυξανόμενη τάση δημιουργεί μια μεγάλη πρόκληση ασφάλειας για τους οργανισμούς, καθώς το εσωτερικό προσωπικό μπορεί να απενεργοποιήσει τις άμυνες, να διαρρεύσει διαπιστευτήρια ή να παρέχει ευαίσθητες πληροφορίες που καθιστούν την πρόληψη επιθέσεων πολύ πιο δύσκολη.

Οι καμπάνιες προσλήψεων στοχεύουν συγκεκριμένους κλάδους με δεδομένα υψηλής αξίας. Τα ανταλλακτήρια κρυπτονομισμάτων όπως το Coinbase, το Binance, το Kraken και το Gemini στοχεύουν σε μεγάλο βαθμό, μαζί με μεγάλες τράπεζες και εταιρείες τεχνολογίας, συμπεριλαμβανομένων των Apple, Samsung και Xiaomi.

Μια καταχώριση darknet προσέφερε ακόμη και πληρωμή για πρόσβαση σε συστήματα στην Ομοσπονδιακή Τράπεζα των ΗΠΑ ή στις συνεργαζόμενες τράπεζες.

Μια άλλη ανάρτηση αναζητούσε πλήρη ιστορικά συναλλαγών από μεγάλη ευρωπαϊκή τράπεζα. Ο χρηματοοικονομικός τομέας παραμένει πρωταρχικός στόχος λόγω της άμεσης πρόσβασης σε κεφάλαια και δεδομένα πελατών.

Ορισμένα προγράμματα προτείνουν ακόμη και μακροπρόθεσμες ρυθμίσεις, με εβδομαδιαίες πληρωμές 1.000 δολαρίων που προσφέρονται σε εμπιστευμένους στις ρωσικές εφορίες.

Οι εργαζόμενοι στις τηλεπικοινωνίες αντιμετωπίζουν ιδιαίτερη προσοχή λόγω της ικανότητάς τους να επιτρέπουν λειτουργίες ανταλλαγής SIM.

Αυτές οι επιθέσεις επιτρέπουν στους εγκληματίες να παρακολουθούν μηνύματα SMS και να παρακάμπτουν συστήματα ελέγχου ταυτότητας δύο παραγόντων.

Οι ερευνητές του Check Point εντόπισαν ότι οι ανταμοιβές για τη συνεργασία τηλεπικοινωνιών έχουν φθάσει τα 10.000 έως 15.000 δολάρια.

Οι αναρτήσεις του σκοτεινού δικτύου χρησιμοποιούν συχνά συναισθηματική χειραγώγηση, με ορισμένες διαφημίσεις να παροτρύνουν τους υπαλλήλους να «ξεφύγουν από τον ατελείωτο κύκλο εργασίας» συνεργαζόμενοι με επιτιθέμενους, υποσχόμενοι πενταψήφιες πληρωμές.

Άλλα μηνύματα απευθύνονται σε μακροπρόθεσμο προσωπικό με καθιερωμένη πρόσβαση στο δίκτυο, παρουσιάζοντας τη συνεργασία εμπιστευτικών πληροφοριών ως μια γρήγορη πορεία προς την οικονομική ελευθερία.

Τεχνική Ανάλυση Λειτουργιών Προσλήψεων

Οι λειτουργίες στρατολόγησης εμπιστευτικών πληροφοριών ακολουθούν μια δομημένη προσέγγιση σε πολλαπλές πλατφόρμες darknet και κρυπτογραφημένα κανάλια.

Οι φορείς απειλών δημοσιεύουν λεπτομερείς απαιτήσεις εργασίας, προσδιορίζοντας τον τύπο πρόσβασης που απαιτείται, τους οργανισμούς-στόχους και τους όρους πληρωμής.

Οι περισσότερες αναρτήσεις στρατολόγησης εμφανίζονται σε ρωσόφωνα φόρουμ darknet, αν και ορισμένες ομάδες ransomware χρησιμοποιούν κανάλια Telegram με εκατοντάδες μέλη για να διαφημίσουν ευκαιρίες.

Τον Ιούλιο, οι ερευνητές ανακάλυψαν μια ομάδα Telegram με 400 μέλη που προώθησε την πρόσβαση σε μια πύλη ransomware και ενθάρρυνε τους μυστικούς χρήστες, τους διεισδυτές και τους μεσίτες πρόσβασης να συμμετάσχουν και να επωφεληθούν από κρυπτογραφημένα συστήματα.

Η μέθοδος πληρωμής χρησιμοποιεί αποκλειστικά κρυπτονομίσματα για τη διατήρηση της ανωνυμίας, με το Bitcoin και το Monero να είναι οι προτιμώμενες επιλογές.

Οι εισβολείς συνήθως ζητούν συγκεκριμένες ενέργειες, όπως απενεργοποίηση λογισμικού προστασίας τελικών σημείων, παροχή διαπιστευτηρίων VPN, εγκατάσταση εργαλείων απομακρυσμένης πρόσβασης ή διείσδυση βάσεων δεδομένων που περιέχουν αρχεία πελατών.

Μια διαφήμιση πρόσφερε ένα σύνολο δεδομένων 37 εκατομμυρίων αρχείων χρηστών ανταλλαγής κρυπτονομισμάτων για 25.000 $, δείχνοντας πώς οι κλεμμένες πληροφορίες δημιουργούν έσοδα για στοχευμένες επιθέσεις.