Google, attraverso Mandiant, ha recentemente segnalato un’ampia espansione nell’attività di minaccia associata a un gruppo di hacker noto come ShinyHunters. Questi attacchi sono caratterizzati dall’uso di tecniche di estorsione e utilizzano metodi avanzati di voice phishing, conosciuto anche come “vishing”.
Metodologie di Vishing e Sfruttamento di Credenziali
Il gruppo utilizza siti fasulli per il recupero delle credenziali che imitano aziende target. L’obiettivo finale è accedere a software di tipo Software-as-a-Service (SaaS), sottraendo dati sensibili e comunicazioni interne, con l’intenzione di estorcere le vittime.
Mandiant sta monitorando queste attività sotto diversi cluster identificativi, tra cui UNC6661 e UNC6671, considerando la possibilità che queste entità evolvano le loro modalità operative.
Dettagli su Vishing e Furto di Credenziali
Le attività di vishing sono illustrate come segue:
- UNC6661 ha simulato chiamate da dipendenti IT a lavoratori delle organizzazioni target, inducendoli a cliccare su link di raccolta credenziali.
- Queste credential rubate sono poi usate per registrare dispositivi e accedere in modo laterale alla rete.
- UNC6671 ha impersonato anche il personale IT per ingannare le vittime e ottenere codici MFA.
Raccomandazioni per Contrastare la Minaccia
Per combattere queste minacce, Google ha fornito raccomandazioni come:
- Richiedere videochiamate dal vivo nei processi di help desk.
- Limitare l’accesso a punti di uscita fidati e rinforzare la sicurezza delle password.
- Implementare un logging efficace per aumentare la visibilità delle azioni di identità.
Google ha sottolineato che queste attività non derivano da vulnerabilità nei prodotti, ma evidenziano l’efficacia dell’ingegneria sociale. È cruciale per le organizzazioni adottare MFA resistente al phishing quando possibile.
