Grupul de Informații privind Amenințările (Threat Intelligence Group – TIG) al Google a emis un nou avertisment legat de un grup cibernetic periculos, cunoscut sub numele de UNC6040. Atacatorii folosesc metode de inginerie socială pentru a fura date, inclusiv acreditări sensibile, printr-o tehnică înșelătoare: determinarea utilizatorilor să răspundă la apeluri telefonice. Nu exploatează nicio vulnerabilitate tehnică, ci profită de încrederea uman.
Potrivit unei postări publicate de TIG pe 4 iunie, grupul UNC6040 este motivat financiar și operează printr-o tactică simplă, dar eficientă: apeluri telefonice prin care se dau drept asistenți IT. Ținta este să convingă angajații să instaleze aplicații Salesforce falsificate – în special versiuni modificate ale Data Loader – care le oferă atacatorilor acces la date sensibile. Odată pătrunși într-o rețea, aceștia se pot deplasa lateral spre alte servicii cloud din companie.
Ținte și impact
Analiștii de la Google descriu UNC6040 drept un grup oportunist care a vizat mai multe industrii din SUA și Europa, inclusiv sectorul hotelier, retail și educație. Se crede că există o colaborare cu un al doilea grup care preia controlul rețelelor compromise pentru a le monetiza – deseori, extorcarea victimelor începe la câteva luni după compromiterea inițială.
Posibile legături cu rețeaua infracțională The Com
Raportul TIG sugerează o legătură între UNC6040 și gruparea UNC640, pe baza unor asemănări în infrastructura folosită. UNC640 este asociat cu o rețea infracțională mai largă numită The Com, descrisă de jurnalistul Brian Krebs ca o „rețea socială distribuită” pentru infractori cibernetici. Aceasta funcționează pe platforme precum Telegram și Discord, unde hackerii cooperează, fac schimb de informații și își etalează reușitele.
Totuși, cercetătorii Google recunosc că suprapunerile dintre tacticile folosite de UNC6040 și cele întâlnite în comunitățile The Com ar putea fi rezultatul unei simple coexistențe a actorilor pe aceleași platforme, fără o colaborare directă.
Recomandările Google pentru protecție
Pentru a reduce riscul atacurilor din partea UNC6040, Google recomandă companiilor următoarele măsuri:
-
Respectarea principiului privilegiului minim (acces doar la resursele necesare).
-
Gestionarea strictă a accesului la aplicațiile conectate.
-
Implementarea restricțiilor de acces bazate pe IP.
-
Folosirea funcționalităților avansate de securitate oferite de Salesforce Shield.
-
Activarea autentificării multi-factor (MFA) pentru toate conturile.
Citește mai mult AICI
Autor
Urmărește știrile PSNews.ro și pe Google News
