FBI: Tredjepartsleverandører og -tjenester bruges som angrebsvektor

FBI fortæller om ransomware-gruppers adgangsmetoder

FBI har udgivet en advarsel om metoder, som ransomware-grupper for at få adgang til deres ofre. Metoderne omfatter misbrug af tredjepartsleverandører og -tjenester. Det skriver Security Week på baggrund af en ’Private Industry Notification’, som blev udsendt i sidste uge.

Advarslen kommer på baggrund af observationer af trusselsaktørers udnyttelse af sårbarheder i leverandørstyret fjernadgang til servere. Udnyttelsen består i at anvende legitime administrationsværktøjer til at øge tilladelserne i de angrebne organisationers netværk.

Observationerne er sket ifm. ransomwareangreb i 2022 og 2023, hvor tredjepartsleverandører af spil til små kasinoer i USA blev brugt som angrebsvektor. Angrebene medførte, at ransomwareaktører fik tilstrækkelig med adgang til at kunne kompromittere servere og kryptere personlig identificerbar information.

Phishing endnu engang

Som ved så mange andre cyberangreb er der ved den indledende adgang brugt en phishinghenvendelse. I dette tilfælde har den indeholdt oplysninger om en forestående sigtelse og en opfordring til at ringe til et bestemt telefonnummer. Gør modtagerne det – måske har de dårlig samvittighed i forhold til spil på kasinoet – anmodes af de ondsindede aktører om at tilslutte sig et systemstyringsværktøj via et link i en opfølgende e-mail, fremgår det af FBIs advarsel.

Lykkes det, er der tale om et sofistikeret dobbelt phishingangreb, hvor angriberne ved brug af værktøjet får mulighed for at implementere fjernadministrationsværktøjer. Disse værktøjer kan så bruges til en række ondsindede aktiviteter som at gå ind i netværksdrev for at eksfiltrere data og på anden vis afpresse den angrebne virksomhed. I disse tilfælde er offeret altså ikke den gæst, der bruger sine penge på kasinoet. Men den evt. brødebetyngede gæst, der lader sig lokke af en mail og et telefonopkald, udgør en sårbarhed og bruges som mulddyr til at give angriberne adgang til kasinoet.

Selv om de anførte observationer fra FBI ifm angreb på kasinoer er næsten så langt væk fra uddannelses- og forskningsmiljøet i Danmark, som det kan være, er metoden værd at notere sig, for enten er den allerede i anvendelse i andre sektorer eller også bliver den det på et tidspunkt.

Links:

https://www.securityweek.com/fbi-highlights-emerging-initial-access-methods-used-by-ransomware-groups/

https://www.aha.org/system/files/media/file/2023/11/bi-tlp-clear-pin-ransomware-actors-continue-to-gain-access-through-third-parties-and-legitimate-system-tools-11-7-23.pdf

Keywords: