Ransomware: Serangan Colonial Pipeline digunakan sebagai umpan dalam kampanye phishing.
Cyber Security Firm Memperingatkan Penyerang Cyber Menggunakan Ketenaran Serangan Cyber Pipa Kolonial untuk Kampanye Phishing.
Adalah umum bagi penyerang untuk menggunakan acara berita terkenal untuk mengelabui orang agar mengklik email dan tautan berbahaya.
Dengan demikian, perusahaan keamanan siber INKY menunjukkan bahwa mereka baru-baru ini menerima banyak peringatan terkait email aneh yang diterima oleh pelanggan mereka.
Yang terakhir mengklaim telah menerima email yang menyebutkan serangan ransomware di Colonial Pipeline, dan mengundang mereka untuk mengunduh “pembaruan sistem ransomware”, untuk melindungi organisasi mereka dari nasib yang sama.
# Convincing mirror sites
Tautan berbahaya mengarahkan pengguna ke situs web dengan nama yang meyakinkan – ms-sysupdate.com dan selectivepatch.com – keduanya baru dibuat dan terdaftar di NameCheap. Domain yang sama yang mengirim email juga mengontrol tautan, kata INKY dalam sebuah pernyataan.
Penyerang dunia maya telah berhasil membuat situs web palsu semakin meyakinkan dengan mendesainnya dengan logo dan gambar perusahaan yang dibidik. Tombol unduh pada halaman mengunduh file "Cobalt Strike" yang disebut "Ransomware_Update.exe" ke komputer pengguna.
Pada bulan Maret, “Laporan Deteksi Ancaman 2021” Red Canary mencantumkan “Cobalt Strike” sebagai ancaman kedua yang paling sering terdeteksi. Laporan INKY menyoroti bahwa Talos Intelligence menemukannya terlibat dalam 66% dari semua serangan ransomware di Q4 2020.
# Cyber attackers
Bukar Alibe, analis data untuk INKY, mengatakan serangan phishing mulai muncul hanya beberapa minggu setelah berita bahwa Colonial Pipeline telah membayar kelompok ransomware DarkSide jutaan untuk memulihkan sistemnya.
“Dalam konteks ini, 'phisher' mencoba mengeksploitasi kecemasan orang-orang dengan menawarkan pembaruan perangkat lunak yang akan 'memperbaiki' masalah melalui email yang sangat bertarget yang menggunakan desain bahasa yang masuk akal untuk bisnis penerima, ”tulis analis . “Yang harus dilakukan penerima hanyalah mengklik tombol biru besar, dan malware akan disuntikkan. “
Selain memanfaatkan ketakutan yang ditimbulkan oleh ransomware, penyerang membuat email dan situs web palsu seolah-olah berasal dari perusahaan korban, memberi mereka legitimasi tambahan. tambah analis.
Penyerang juga telah berhasil menggagalkan banyak sistem deteksi phishing menggunakan domain baru.
# Kampanye phishing lainnya Direncanakan
“Jika tampaknya dikirim oleh perusahaan itu sendiri (misalnya, SDM, TI, atau keuangan), apakah itu sebenarnya dari server surat yang dikendalikan perusahaan? Jika terlihat seperti surat dari departemen SDM atau TI tetapi menyimpang dari norma, maka itu adalah sinyal, ”tulis posting blog.
Bukar Alibe mendesak tim TI untuk memberi tahu karyawan bahwa mereka tidak akan diminta untuk mengunduh jenis file tertentu karena jenis email phishing ini berupaya memanfaatkan keinginan karyawan untuk melakukan hal yang benar. mengikuti pedoman keselamatan yang diakui. Analis mencatat bahwa serangan itu menargetkan dua perusahaan, dan mengantisipasi lebih banyak serangan serupa yang akan datang.
“Kami tidak akan terkejut melihat penyerang menggunakan kampanye phishing Nobelium-USAID baru-baru ini sebagai umpan,” Bukar Alibe memperingatkan.