🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma campanha de extorsão de roubo de dados com motivação financeira que teve como alvo dezenas de organizações de serviços profissionais, jurídicos e financeiros nos EUA entre janeiro e maio de 2026.
A atividade foi atribuída pelo Google Mandiant e pelo Google Threat Intelligence Group (GTIG) a um ator de ameaça denominado UNC3753, também conhecido como Chatty Spider, Luna Moth e Silent Ransom Group (SRG).
“UNC3753 aproveita técnicas de phishing de voz (vishing) e engenharia social para obter acesso remoto a ambientes corporativos”, disseram os pesquisadores Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer e Tyler McLellan.
“Usando pretextos como migração de dados ou e-mails relacionados a faturas, os atores da ameaça iniciam conversas telefônicas se passando por suporte de TI e convencem os alvos a hospedar sessões de compartilhamento de tela e baixar utilitários de monitoramento e gerenciamento remoto (RMM).
Ao obter acesso, descobriu-se que os atores da ameaça realizam pesquisas diretas para localizar e exfiltrar arquivos de interesse ou enganam a vítima para que execute as ações em seu nome. As informações roubadas incluem acordos legais proprietários, informações de identificação pessoal (PII) e registros financeiros.
Em alguns casos, os invasores acessaram pessoalmente os sistemas das vítimas, ecoando um comunicado emitido pelo Federal Bureau of Investigation (FBI) dos EUA no mês passado. Essas intrusões físicas envolvem agentes de ameaças que se passam por técnicos de TI para entrar em escritórios corporativos e tentar roubar dados usando mídia USB removível.
“Ao enviar alguém pessoalmente ao local da vítima para facilitar a invasão, os atores do SRG exfiltram os dados para um disco rígido externo ou unidade USB inserido pelo agente da ameaça no computador da vítima”, disse o FBI sobre a nova escalada nas capacidades do UNC3753.
O Google disse que o UNC3753 compartilha sobreposições táticas com o UNC2686, um cluster de ameaças anteriormente conhecido por realizar campanhas no estilo BazarCall em 2021. Embora o grupo tenha sido observado implantando o ransomware LockBit Black no passado, ele se concentrou principalmente em operações somente de extorsão desde 2022, pressionando as vítimas a pagar ou correr o risco de ter seus dados publicados no site de vazamento de dados LEAKEDDATA.
Tanto o UNC3753 quanto o UNC2686 são avaliados como ramificações da agora extinta gangue de ransomware Conti, com as primeiras iterações das campanhas usando iscas de cancelamento de assinatura como parte de ataques de phishing de retorno de chamada que visam instalar software de acesso remoto nas máquinas das vítimas.
A partir de março de 2025, a equipe de hackers se passou por funcionários internos de suporte técnico de TI corporativos para enganar as vítimas e fazê-las participar de uma sessão de compartilhamento de tela em plataformas de comunicação corporativa como Zoom, Microsoft Teams ou Quick Assist, sob o pretexto de resolver um problema de segurança ajudando em um projeto de migração de dados corporativos, contornando efetivamente os controles de segurança tradicionais.
“O grupo de ameaças frequentemente inicializa campanhas usando iscas de e-mail benignas com tema de fatura, enviadas de contas de e-mail de consumidores controladas por atores”, disse o Google. "Essas mensagens não contêm links ativos ou anexos maliciosos. Em vez disso, normalmente contêm uma mensagem breve e genérica. O objetivo principal desses e-mails é estabelecer um pretexto, aumentando as preocupações de segurança interna do alvo para que sejam mais suscetíveis a chamadas de voz de acompanhamento."
Depois que uma sessão é estabelecida, os invasores tentam estabelecer uma posição persistente, orientando as vítimas a instalar software legítimo de desktop remoto, como AnyDesk, Bomgar, SuperOps RMM ou Zoho Assist. As instruções para instalar esses programas são compartilhadas por meio de um serviço legítimo chamado "privnote[.]com", que permite aos usuários enviar notas que se autodestroem após serem lidas pelo destinatário.
O UNC3753 também foi observado estabelecendo sessões de Zoom diretamente nos laptops pessoais dos alvos para acessar a infraestrutura corporativa de desktop virtual (VDI) e se aprofundar nos sistemas de arquivos corporativos com o objetivo de enumerar diretórios locais e na nuvem, rastrear unidades de rede mapeadas e coletar dados de pastas altamente confidenciais, incluindo aquelas relacionadas a declarações fiscais, auditorias, acordos de clientes corporativos e números de seguridade social (SSNs).
Na fase final, os dados capturados são enviados aos agentes da ameaça via WinSCP ou Rclone, ou para endereços de e-mail controlados pelo agente da ameaça a partir da caixa de correio do alvo. Em seguida, os invasores enviam uma demanda de extorsão na forma de uma mensagem de e-mail, normalmente 30 minutos após sair do ambiente de destino.
As mensagens de e-mail dão às vítimas um prazo de três dias para iniciar negociações de resgate. Eles também ameaçam ligar e enviar e-mails diretamente para funcionários e clientes externos para notificá-los sobre a violação de dados, caso eles não respondam, sem mencionar a publicação do
A atividade foi atribuída pelo Google Mandiant e pelo Google Threat Intelligence Group (GTIG) a um ator de ameaça denominado UNC3753, também conhecido como Chatty Spider, Luna Moth e Silent Ransom Group (SRG).
“UNC3753 aproveita técnicas de phishing de voz (vishing) e engenharia social para obter acesso remoto a ambientes corporativos”, disseram os pesquisadores Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer e Tyler McLellan.
“Usando pretextos como migração de dados ou e-mails relacionados a faturas, os atores da ameaça iniciam conversas telefônicas se passando por suporte de TI e convencem os alvos a hospedar sessões de compartilhamento de tela e baixar utilitários de monitoramento e gerenciamento remoto (RMM).
Ao obter acesso, descobriu-se que os atores da ameaça realizam pesquisas diretas para localizar e exfiltrar arquivos de interesse ou enganam a vítima para que execute as ações em seu nome. As informações roubadas incluem acordos legais proprietários, informações de identificação pessoal (PII) e registros financeiros.
Em alguns casos, os invasores acessaram pessoalmente os sistemas das vítimas, ecoando um comunicado emitido pelo Federal Bureau of Investigation (FBI) dos EUA no mês passado. Essas intrusões físicas envolvem agentes de ameaças que se passam por técnicos de TI para entrar em escritórios corporativos e tentar roubar dados usando mídia USB removível.
“Ao enviar alguém pessoalmente ao local da vítima para facilitar a invasão, os atores do SRG exfiltram os dados para um disco rígido externo ou unidade USB inserido pelo agente da ameaça no computador da vítima”, disse o FBI sobre a nova escalada nas capacidades do UNC3753.
O Google disse que o UNC3753 compartilha sobreposições táticas com o UNC2686, um cluster de ameaças anteriormente conhecido por realizar campanhas no estilo BazarCall em 2021. Embora o grupo tenha sido observado implantando o ransomware LockBit Black no passado, ele se concentrou principalmente em operações somente de extorsão desde 2022, pressionando as vítimas a pagar ou correr o risco de ter seus dados publicados no site de vazamento de dados LEAKEDDATA.
Tanto o UNC3753 quanto o UNC2686 são avaliados como ramificações da agora extinta gangue de ransomware Conti, com as primeiras iterações das campanhas usando iscas de cancelamento de assinatura como parte de ataques de phishing de retorno de chamada que visam instalar software de acesso remoto nas máquinas das vítimas.
A partir de março de 2025, a equipe de hackers se passou por funcionários internos de suporte técnico de TI corporativos para enganar as vítimas e fazê-las participar de uma sessão de compartilhamento de tela em plataformas de comunicação corporativa como Zoom, Microsoft Teams ou Quick Assist, sob o pretexto de resolver um problema de segurança ajudando em um projeto de migração de dados corporativos, contornando efetivamente os controles de segurança tradicionais.
“O grupo de ameaças frequentemente inicializa campanhas usando iscas de e-mail benignas com tema de fatura, enviadas de contas de e-mail de consumidores controladas por atores”, disse o Google. "Essas mensagens não contêm links ativos ou anexos maliciosos. Em vez disso, normalmente contêm uma mensagem breve e genérica. O objetivo principal desses e-mails é estabelecer um pretexto, aumentando as preocupações de segurança interna do alvo para que sejam mais suscetíveis a chamadas de voz de acompanhamento."
Depois que uma sessão é estabelecida, os invasores tentam estabelecer uma posição persistente, orientando as vítimas a instalar software legítimo de desktop remoto, como AnyDesk, Bomgar, SuperOps RMM ou Zoho Assist. As instruções para instalar esses programas são compartilhadas por meio de um serviço legítimo chamado "privnote[.]com", que permite aos usuários enviar notas que se autodestroem após serem lidas pelo destinatário.
O UNC3753 também foi observado estabelecendo sessões de Zoom diretamente nos laptops pessoais dos alvos para acessar a infraestrutura corporativa de desktop virtual (VDI) e se aprofundar nos sistemas de arquivos corporativos com o objetivo de enumerar diretórios locais e na nuvem, rastrear unidades de rede mapeadas e coletar dados de pastas altamente confidenciais, incluindo aquelas relacionadas a declarações fiscais, auditorias, acordos de clientes corporativos e números de seguridade social (SSNs).
Na fase final, os dados capturados são enviados aos agentes da ameaça via WinSCP ou Rclone, ou para endereços de e-mail controlados pelo agente da ameaça a partir da caixa de correio do alvo. Em seguida, os invasores enviam uma demanda de extorsão na forma de uma mensagem de e-mail, normalmente 30 minutos após sair do ambiente de destino.
As mensagens de e-mail dão às vítimas um prazo de três dias para iniciar negociações de resgate. Eles também ameaçam ligar e enviar e-mails diretamente para funcionários e clientes externos para notificá-los sobre a violação de dados, caso eles não respondam, sem mencionar a publicação do
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #unc3753 #usou #vishing #e #intrusões #físicas #na #campanha #de #extorsão #por #roubo #de #dados #nos #eua
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário