Unit 42 di Palo Alto Networks ha analizzato diversi incidenti relativi alla campagna di estorsione con callback phishing del gruppo Luna Moth/Silent Ransom che hanno preso di mira aziende di diversi settori, tra cui quelli legale e retail. Questa campagna, che sfrutta l’estorsione senza crittografia, è costata alle vittime centinaia di migliaia di dollari e si sta estendendo.
Le tecniche di ingegneria sociale, per loro natura, lasciano pochi artefatti poiché utilizzano strumenti tecnologici affidabili e legittimi per portare a termine gli attacchi. Tuttavia, Unit 42 ha individuato diversi indicatori comuni che dimostrano come questi attacchi siano il prodotto di un’unica campagna altamente organizzata, in cui l’attore ha investito in modo significativo in call center e infrastrutture uniche per ogni vittima.
Unit 42 è intervenuta in numerosi casi facenti capo a un’unica campagna svoltasi da metà maggio a fine ottobre 2022. ADVIntel attribuisce questa campagna a un attore di minacce soprannominato Silent Ransom che vanta legami con il gruppo Conti e, sebbene Unit 42 non sia in grado di stabilire con certezza questa relazione, sta monitorando attentamente l’attribuzione.
I casi mostrano una chiara evoluzione delle tattiche che suggerisce come l’attore stia continuando a migliorare l’efficacia del suo attacco. Infatti, mentre i primi prendevano di mira persone operanti in piccole e medie imprese del settore legale, quelli analizzati in seguito si rivolgevano a obiettivi più grandi del settore retail.
Che cosa è il Callback Phishing
Il callback phishing, detto anche telephone-oriented attack delivery (TOAD), è un attacco di social engineering che richiede all’attore di interagire con l’obiettivo per raggiungere i propri scopi. Questo stile di attacco richiede più risorse, ma è meno complesso di quelli basati su script e tende ad avere un tasso di successo molto più elevato. Unit 42 ricorda ad esempio il gruppo Conti che ha ottenuto grandi risultati con questa tecnica nella campagna BazarCall.
Unit 42 segue questa tipologia di attacco dal 2021 e le prime iterazioni si concentravano sull’ingannare la vittima affinché scaricasse il malware BazarLoader utilizzando documenti con macro dannose. Questa nuova campagna invece, che Sygnia ha attribuito a un attore di minacce soprannominato “Luna Moth”, elimina la parte malware e gli aggressori utilizzano strumenti di gestione legittimi per interagire direttamente con il computer della vittima ed esportare manualmente i dati da utilizzare per l’estorsione. Poiché questi strumenti non sono pericolosi, è improbabile che vengano rilevati da antivirus tradizionali.
L’esca iniziale è un’email di phishing, inviata a un indirizzo di posta elettronica aziendale, a cui è allegata una fattura di addebito di un servizio sulla carta di credito del destinatario, di solito per un importo inferiore a 1.000 dollari. È infatti meno probabile che le persone si interroghino su fatture strane quando si tratta di importi relativamente bassi. Tuttavia, se gli utenti presi di mira segnalassero queste spese all’ufficio acquisti aziendale, si potrebbe individuare meglio l’attacco, soprattutto se le segnalazioni fossero numerose.
L’email di phishing è personalizzata, non contiene malware e viene inviata utilizzando un servizio di posta elettronica legittimo, con una fattura PDF allegata. Queste caratteristiche rendono meno probabile l’intercettazione da parte della maggior parte delle piattaforme di protezione delle email.
La fattura include un numero ID e un telefono univoci, spesso scritti con caratteri o formattazioni extra per impedire alle piattaforme di Data Loss Prevention (DLP) di riconoscerla. Quando il destinatario chiama il numero, viene indirizzato a un call center controllato da un cybercriminale e collegato a un agente in carne e ossa.
Con il pretesto di annullare l’abbonamento, l’agente fittizio guida l’utente al download ed esecuzione di uno strumento di supporto remoto che consente all’aggressore di gestire il computer della vittima. Questo passaggio di solito genera un’altra email, proveniente dal fornitore dello strumento e inviata alla vittima, con un link per avviare la sessione di supporto.
A questo punto, l’aggressore scarica e installa uno strumento di amministrazione remota che gli consente di ottenere persistenza. Se la vittima non dispone di diritti di amministrazione sul proprio computer, il criminale salta questo passaggio, andando direttamente alla ricerca dei file per l’esfiltrazione.
L’aggressore cercherà quindi di identificare le informazioni di valore presenti sul computer della vittima e le condivisioni di file, trasferendole in modo nascosto a un server controllato utilizzando un tool di trasferimento. In questo modo, l’attore della minaccia è in grado di compromettere le risorse aziendali attraverso un attacco di social engineering su un individuo.
Dopo aver rubato i dati, l’attaccante invia un’email di estorsione in cui chiede alle vittime di pagare un riscatto per evitare che vengano resi pubblici. Nel caso in cui l’utente colpito non si mettesse in contatto, i cybercriminali procederanno con richieste più aggressive, arrivando anche a minacciare di contattare clienti e committenti dell’azienda compromessa, identificati grazie ai dati rubati, per aumentare la pressione a rispettare le regole.
Unit 42 prevede che gli attacchi di callback phishing aumenteranno grazie al basso costo per obiettivo, al rischio di rilevamento ridotto e alla rapida monetizzazione. All’inizio, probabilmente saranno i gruppi in grado di creare un’infrastruttura per gestire le chiamate in entrata e identificare i dati sensibili per l’esfiltrazione a dominare il panorama delle minacce, ma la bassa barriera d’ingresso renderà possibile il coinvolgimento di altri attori.
Tutti i dettagli sulla campagna Luna Moth sono disponibili sul sito di Unit 42 di Palo Alto Networks.