Google和FBI警告勒索软件组织派出假冒IT工作人员亲自攻击受害者

据Google和FBI称，勒索软件团伙有时会派假冒的IT工作人员亲自前往受害者的办公室，利用USB驱动器直接从受害者的计算机窃取数据，或帮助其他团伙成员远程连接到计算机，从而升级了对律师事务所的攻击。

周五，Google的网络安全团队Mandiant和Google威胁情报组织发布了一份新报告，指控名为Silent Ransom Group的网络犯罪团伙在今年1月至5月针对“数十名”受害者的攻击中试图“利用物理、面对面的访问”窃取受害者的信息。

MandiantCTOCharles Carmakal在声明中告诉TechCrunch：“Mandiant已经调查了对手安插内部人员、贿赂员工或物理进入建筑物以实施网络攻击的各种事件。”他补充说，该公司多年来也曾在其他案件中看到过这种策略。

上个月，FBI发布了一份警报，称Silent Ransom Group一直针对律师事务所进行社会工程和网络钓鱼攻击，冒充IT支持员工。但在某些情况下，该组织会派假冒的IT支持人员到受害者的办公室，在那里他们连接到员工的计算机，并使用USB驱动器或远程访问工具窃取合同、社会安全号码等个人信息以及财务和税务记录等数据。

一位FBI发言人告诉TechCrunch：“我们可以确认，我们已经看到多个冒充IT支持人员的实例，他们已经或试图亲自访问受害公司的办公室和/或设备，作为Silent Ransom Group窃取数据计划的一部分。”

在现在常见的勒索策略中，该团伙并不像传统勒索软件攻击那样实际加密受害者的数据，该团伙拥有自己的泄露网站，威胁受害者发布被盗数据，如果受害者不付款，就会发布这些数据。

联系我们您有关于这些黑客活动的更多信息吗？或者其他数据泄露？我们很乐意听取您的意见。在非工作设备和网络上，您可以通过Signal（+1 917 257 1382）或通过Telegram和Keybase @lorenzofb、oremail安全地联系Lorenzo Franceschi-Bicchierai。

这种情况通常发生在黑客直接向受害者发送电子邮件威胁他们之后。

据Google报道，黑客在给一名受害者的信中写道：“如果您不知情或未达成协议，我们将通知您的员工、合作伙伴和客户，然后我们将发布您的数据。”

据Google的报告，黑客还使用了更传统的方法，例如网络钓鱼电子邮件、后续电话和社交工程。网络犯罪分子冒充公司的IT支持人员来欺骗受害者授予其计算机的访问权限。

“呼叫者使用各种口头指令来指导目标行为。在解决安全问题或协助企业数据迁移项目的幌子下，他们建立信任并引导目标加入屏幕共享会话，”Google的研究人员写道。然后，黑客通过说服受害者下载并打开屏幕共享应用程序，或使用Zoom或Microsoft Teams等应用程序中的屏幕共享功能来绕过安全控制。

虽然黑客大多数时候通过恶意软件或网络钓鱼攻击远程窃取数据，但这些案例表明，一些黑客现在愿意更进一步，将传统的黑客技术与物理入侵相结合，这是一种新颖且重大的升级。