Grupo de Hackers roba tu información y vende este acceso a otras pandillas para una mayor explotación.

 El Grupo de análisis de amenazas (TAG) de Google describe un grupo de ciberdelincuentes al que llama "EXOTIC LILY" que actúa como agente de acceso inicial para numerosos actores de amenazas motivados financieramente, incluidos FIN12 y la banda de ransomware Conti . EXOTIC LILY utiliza ataques de phishing para obtener acceso a las redes de las organizaciones y luego vende este acceso a otras pandillas para una mayor explotación.


   

“En el punto máximo de la actividad de EXOTIC LILY, estimamos que enviaban más de 5000 correos electrónicos por día a hasta 650 organizaciones objetivo en todo el mundo”, escriben los investigadores. “Hasta noviembre de 2021, el grupo parecía estar apuntando a industrias específicas como TI, ciberseguridad y atención médica, pero últimamente los hemos visto atacar una amplia variedad de organizaciones e industrias, con un enfoque menos específico”.

Los investigadores señalan que, a pesar del alto volumen de ataques, EXOTIC LILY aún logra personalizar sus campañas para cada organización objetivo.

“Hemos observado que este actor de amenazas implementa tácticas, técnicas y procedimientos (TTP) que tradicionalmente se asocian con ataques más dirigidos, como empresas y empleados de suplantación de identidad, como un medio para ganarse la confianza de una organización objetivo a través de campañas de correo electrónico que se cree que son enviadas por operadores humanos reales que utilizan poca o ninguna automatización”, escriben los investigadores. “Además, y de manera única, aprovechan los servicios legítimos de intercambio de archivos como WeTransfer, TransferNow y OneDrive para entregar la carga útil, evadiendo aún más los mecanismos de detección. Este nivel de interacción humana es bastante inusual para los grupos de ciberdelincuencia centrados en operaciones a gran escala”.

Los investigadores agregan que el actor de amenazas ha mejorado sus técnicas de ingeniería social en los últimos meses.

“Inicialmente, el grupo crearía personas completamente falsas haciéndose pasar por empleados de una empresa real”, dice TAG. “Eso a veces consistiría en crear perfiles de redes sociales, sitios web personales y generar una imagen de perfil falsa utilizando un servicio público para crear un rostro humano generado por IA. En noviembre de 2021, el grupo comenzó a hacerse pasar por empleados reales de la empresa copiando sus datos personales de las redes sociales y bases de datos comerciales como RocketReach y CrunchBase”.

Los atacantes utilizan estas cuentas falsificadas para enviar mensajes de phishing selectivo a los empleados de las empresas objetivo, discutiendo una oportunidad de negocio falsa.

“Los atacantes a veces entablaban una mayor comunicación con el objetivo al intentar programar una reunión para discutir el diseño o los requisitos del proyecto”, dice TAG. “En la etapa final, el atacante cargaría la carga en un servicio público para compartir archivos (TransferNow, TransferXL, WeTransfer o OneDrive) y luego usaría una función de notificación por correo electrónico integrada para compartir el archivo con el objetivo, lo que permitiría que el correo electrónico final para originarse en la dirección de correo electrónico de un servicio legítimo de intercambio de archivos y no en el correo electrónico del atacante, lo que presenta desafíos de detección adicionales”.


¿Como evito esto?

Averigua más

   

Comentarios

Entradas populares de este blog

Omnicanalidad e IA: Tendencias centrales para el ecommerce en 2024

Los usuarios de Apple se convierten en los últimos objetivos de los ataques MFA

¿Que pasaría si se perdiera toda su información financiera?