📰 Informação fresquinha chegando para você!

A notícia que você procurava está aqui!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo grupo de extorsão de dados chamado Helix está usando táticas focadas em identidade, como phishing de voz (vishing), phishing de código de dispositivo e abuso de autenticação multifator (MFA) para roubar dados de ambientes SharePoint.

O contato inicial é feito através de vishing. Em alguns casos, o autor da ameaça ligou para os funcionários enquanto se fazia passar por seu gerente, usando o nome do gerente ou falsificação de identificador de chamadas para parecer legítimo.

O objetivo é enganar o alvo em esquemas de phishing de código de dispositivo para obter acesso às suas contas.



Uma vez lá dentro, os operadores do Helix registram rapidamente um novo aplicativo autenticador multifator para persistência e, em seguida, navegam e enumeram o SharePoint antes de exfiltrar os arquivos.

De acordo com pesquisadores da empresa de segurança cibernética ReliaQuest, os dados roubados são normalmente usados ​​para extorquir organizações vítimas, ameaçando publicá-los, a menos que um resgate seja pago ou sejam vendidos a outros criminosos cibernéticos.

O comportamento de exfiltração do SharePoint é a impressão digital técnica mais forte do Helix.

"A enumeração e a coleta automatizadas foram idênticas em todos os incidentes e representam a impressão digital mais confiável. A enumeração foi executada a partir de 179.43.185[.]230 usando o agente de usuário python-requests/2.28.1", observam os pesquisadores.

“A operadora emitiu contentclass:STS_Site e pesquisas curinga (*) do SharePoint para inventariar todo o conteúdo acessível e, em seguida, fez download em massa do mesmo IP e agente de usuário.”

Links para ShinyHunters e BlackFile

A ReliaQuest acredita que o Helix surgiu dos grupos de extorsão de dados ShinyHunters e BlackFile com base nas técnicas e infraestrutura utilizadas, embora os pesquisadores não tenham encontrado uma conexão definitiva.

No mês passado, Medtronic, Nissan, NAIC, Kodak, Infinite Campus e Nottingham University confirmaram violações de dados anteriormente reivindicadas pela ShinyHunters.

O agora extinto grupo de extorsão de dados BlackFile tinha como alvo organizações que usavam ataques baseados em identidade e engenharia social antes de encerrar suas operações em abril.

A pesquisa da ReliaQuest descobriu que um ataque Helix usou um endereço IP de exfiltração no mesmo sistema autônomo (AS 51852) que hospedou um endereço IP BlackFile confirmado, sugerindo recursos compartilhados.

Além disso, o surgimento do Helix logo após o encerramento do BlackFile pode indicar uma possível continuação da operação extinta. ReliaQuest também menciona Pink e Redact como potenciais sucessores.

Em relação ao link para ShinyHunters, Helix demonstra um manual de engenharia social muito semelhante, incluindo vishing, representação de funcionários, direcionamento ao Microsoft 365 e roubo de dados do SharePoint.

Uma segunda pista é o uso do registrador NICENIC, que também foi visto em campanhas anteriores do ShinyHunters.

Como medida defensiva de maior impacto contra ataques Helix, os pesquisadores recomendam que a autenticação do código do dispositivo seja desativada sempre que possível.

Outras recomendações incluem restringir o acesso do SharePoint apenas a dispositivos gerenciados e bloquear trocas com domínios recém-registrados, que o Helix normalmente usa em seus ataques.









Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o whitepaper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #novo #grupo #helix #vishing #surge #em #ataques #de #roubo #de #dados #do #sharepoint
💡 Compartilhe e ajude nosso projeto a crescer!

Post a Comment