Угрозы от хакера UNC3944: новый вектор атак на бизнес
Источник: cloud.google.com
С начала 2023 года хакерская группа UNC3944, известная своими финансовыми целями и связанная с группировкой Scattered Spider, изменила свою тактику, начав нацеливаться в первую очередь на телекоммуникационные компании. Это изменение связано с активным использованием методов обмена SIM-картами, а также переходом к атакам с использованием программ-вымогателей и хищением данных.
Расширение спектра атак
Недавние отчеты показывают, что UNC3944 расширила свои операции, начав нацеливаться на такие отрасли, как:
- Финансовые услуги
- Общественное питание
- Крупные розничные бренды
Это позволяет злоумышленникам пользоваться известностью брендов для усиления их влияния.
Влияние правоохранительных органов
Сообщается, что активность UNC3944 значительно снизилась после вмешательства правоохранительных органов в 2024 году. Это типично для ситуации, когда киберпреступники, стремясь избежать дальнейших расследований, временно сокращают свои операции.
Тактики социальной инженерии
Группа применяет сложные тактики социальной инженерии для манипуляции работой служб поддержки. Это подчеркивает важность усиления процессов проверки в организациях:
- Обучение сотрудников службы технической поддержки подтверждению личности с помощью безопасных методов.
- Совершенствование подходов к аутентификации для уменьшения зависимости от легкодоступных персональных данных.
- Внедрение надежных мер безопасности для сброса паролей и управления учетными записями.
Целевые аудитории и регионы
Организациям, особенно крупным предприятиям с возможностями ИТ-аутсорсинга, следует быть особенно внимательными, так как они чаще становятся жертвами методов социальной инженерии. Основная целевая аудитория включает англоязычные страны, а недавние кампании были проведены в Сингапуре и Индии.
Рекомендации для снижения рисков
Для снижения рисков, связанных с UNC3944, организациям рекомендуется:
- Обеспечить строгий контроль доступа, особенно для привилегированных учетных записей.
- Отделить хранилища идентификационных данных от служб инфраструктуры.
- Использовать многофакторную аутентификацию (MFA).
- Ограничить возможности удаленного доступа.
- Внедрить дополнительные стратегии защиты, такие как проверка состояния устройства.
Мониторинг и предупреждение угроз
Регулярный мониторинг несанкционированных изменений в конфигурациях безопасности, а также тщательное изучение недавно зарегистрированных устройств MFA являются критически важными мерами. Организациям также стоит уделять внимание записи и проверке действий по аутентификации, использованием технологий обнаружения для выявления необычных попыток входа.
Необходимость обучения пользователей
Тактика, применяемая UNC3944, подчеркивает необходимость всестороннего обучения пользователей. Увеличение осведомленности о попытках социальной инженерии, особенно такой, как SMS-фишинг, может значительно повысить защиту. Установление строгих политик мониторинга внешних коммуникаций при одновременном усилении необходимости проверки перед выполнением конфиденциальных действий поможет защититься от этого развивающегося хакерского движения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
