Cyberatak z ludzką twarzą
Atakują, nie zostawiając śladów na twardych dyskach w postaci zaszyfrowanych plików. Zamiast tego wchodzą cicho i metodycznie, niczym profesjonalni włamywacze, którzy wiedzą dokładnie, po co przyszli. FBI ostrzega, że Luna Moth – znana również pod nazwami Silent Ransom Group, Chatty Spider czy UNC3753 – prowadzi ofensywę wymierzoną w amerykańskie firmy prawnicze i finansowe. I robi to z chirurgiczną precyzją. Wchodzą przez phishingowe kampanie, działają pod płaszczykiem technicznego wsparcia i zamiast szyfrować systemy, po prostu kradną dane, których ujawnieniem potem szantażują swoje ofiary. Zagrożenie nie jest nowe, ale skala i taktyka – wyjątkowe. Początki grupy sięgają 2022 roku, tuż po rozpadzie znanego syndykatu ransomware Conti. To wtedy, po wewnętrznych podziałach, część cyberprzestępców postanowiła obrać inny kierunek. Zamiast blokować systemy i żądać „klucza”, Luna Moth wybiera subtelność: zdobywają dostęp dzięki podszywaniu się pod działy IT, a potem przekonują pracowników do uruchomienia narzędzi zdalnego dostępu. Tak właśnie rozpoczyna się proces, którego końcem jest e-mail z żądaniem wielomilionowego okupu i groźbą ujawnienia tajnych dokumentów.
Zdalne wejście, lokalne straty
FBI ujawnia, że procedura Luna Moth opiera się na starannie przygotowanych kampaniach socjotechnicznych. Atak rozpoczyna się zwykle od e-maila lub telefonu, który zdaje się pochodzić z działu wsparcia technicznego. Ofiara otrzymuje informacje o rzekomym problemie z kontem lub systemem i sugestię, by uruchomić zdalny pulpit. Cyberprzestępcy korzystają przy tym z legalnych narzędzi – takich jak WinSCP czy Rclone – zmodyfikowanych i przemianowanych tak, by nie wzbudzać podejrzeń. Po uzyskaniu dostępu do urządzenia ofiary, szybko przeszukują je w poszukiwaniu dokumentów, które mogą posłużyć do szantażu. To, co odróżnia ich od klasycznych grup ransomware, to brak szyfrowania danych. Zamiast niszczyć dostęp, kopiują, co najcenniejsze – umowy, dane klientów, zapisy wewnętrznych spotkań, strategie prawne. A potem dzwonią, piszą, wywierają presję. Jak podaje FBI, cyberprzestępcy potrafią bezpośrednio kontaktować się z pracownikami, grożąc ujawnieniem skradzionych informacji. Czasami tworzą specjalne strony internetowe, na których publikują fragmenty wykradzionych dokumentów jako ostrzeżenie dla opornych.
Niepokojące jest to, że metody Luna Moth stają się coraz bardziej wyrafinowane. Według raportu firmy EclecticIQ, cyberprzestępcy rejestrują domeny łudząco podobne do autentycznych stron dużych kancelarii i firm IT. Posługują się tzw. typosquattingiem – techniką polegającą na tworzeniu stron z adresami przypominającymi te prawdziwe, z niewielkimi literówkami, na które łatwo się nabrać. To przez nie kierują ofiary do instalacji oprogramowania RMM (Remote Monitoring and Management), które umożliwia zdalny dostęp do komputerów pracowników. Wysokość okupów, jakie żądają cyberprzestępcy, waha się – według źródeł – od jednego do ośmiu milionów dolarów. Kwoty zależą od rozmiarów organizacji i wartości danych, które udało się wykraść. Choć posiadają własne strony do publikowania danych, nie zawsze spełniają obietnice lub groźby ich ujawnienia, co dodatkowo komplikuje negocjacje z szantażystami.
