Nedavni sajber napad koji oponaša taktiku zloglasne grupe Black Basta ransomware ciljao je jednog od SlashNext-ovih klijenata, bombardujući 22 korisnička sandučića sa 1.165 malicioznih e-poruka u samo 90 minuta.
Ovaj brzi napad, usmjeren na ogromne baze korisnika i zaobilazeći tradicionalne sigurnosne mjere, pokazuje naprednu sofisticiranost modernih phishing kampanja.
Napad je započeo kada je klijentov sigurnosni operativni centar (SOC) otkrio iznenadni nalet sumnjivih e-poruka.
Nakon istrage , klijent je otkrio da je njihov Secure Email Gateway (SEG) zaista označio povećanje maliciozne aktivnosti.
Okrenuvši se SlashNext alatu za odbranu od krađe identiteta, dijelu njihove ponude Integrated Cloud Email Security (ICES), brzo su identifikovali stotine sumnjivih poruka usmjerenih na malu grupu korisnika.
.webp)
Taktike napada
Napad u stilu Black Baste koristio je nekoliko sofisticiranih tehnika:
- Platformsko lažno predstavljanje: Napadači su se predstavljali kao popularne platforme kao što su WordPress i Shopify, koristeći domene legitimnog izgleda za slanje lažnih e-poruka za kreiranje naloga i pretplatu.
- Prikriveni domeni: Poruke potiču iz naizgled bezopasnih domena kao što su genomelink.io i mandrillapp.com, pažljivo odabrane da izbjegnu jednostavne filtere.
- Zamućivanje znakova: Redovi predmeta uključuju neobične znakove ili manje varijacije kako bi se zaobišle osnovne provjere ključnih riječi i zbunili primaoci.
- Različite vrste naloga: e-poruke su upućivale na različite korisničke uloge kako bi se povećale šanse da privučete nečiju pažnju.
- Psihološki okidači: Hitne fraze poput “Vaš račun je kreiran” korištene su za stvaranje osjećaja panike i hitne radnje.
SlashNextova SEER tehnologija sa AI-om je odigrala ključnu ulogu u ublažavanju ove prijetnje. Za razliku od tradicionalnih filtera, SEER™ analizira ponašanje e-pošte u realnom vremenu, omogućavajući mu da otkrije maliciozni sadržaj čak i kada je skriven iza čudnih simbola ili kodiranog teksta. Sistem je identifikovao nekoliko obrazaca napada, uključujući:
- URL-ovi koji vode do lažnih stranica za prijavu
- Lažno varanje domena korištenjem poddomena
- Kodirani URL-ovi koji pokreću štetni softver kada se kliknu
Fokusirajući se na ponašanje, a ne samo na izgled, SEER je uspješno označio i blokirao svaku sumnjivu e-poštu u realnom vremenu, štiteći korisnike od potencijalnog kompromisa.
Ovaj napad naglašava tekuću evoluciju taktika krađe identiteta, posebno onih povezanih s grupama ransomwarea kao što je Black Basta.
Uspjeh SlashNexta u sprječavanju ovog napada naglašava važnost sigurnosnih sistema e-pošte zasnovanih na vještačkoj inteligenciji u današnjem okruženju prijetnji.
Izvor: CyberSecurityNews
