Die Nebel-Ransomware-Gruppe hat ihre Methoden dramatisch eskaliert und legitime Mitarbeiter-Überwachungssoftware in einem ausgeklügelten Angriff waffen, der die Grenze zwischen Finanzerpressung und Spionage auf Landesebene verwischt. Vor der Verschlüsselung und Festlegung der Beharrlichkeit auch nach der Lösegeldnachfrage-eine Taktik, die Cybersicherheitsanalysten auf ein tieferes, alarmierenderes Motiv als Geld allein sagen. Laut einer detaillierten Analyse des Bedrohungs-Hunter-Teams von Symantec verwendeten die Betreiber von FOG das Mitarbeiterüberwachungsinstrument Syteca, um Aufklärungen durchzuführen, eine Methode, mit der Angreifer Tastenanschläge erfassen und Aktivitätsaktivitäten erfassen können, ohne herkömmliche Sicherheitswarnungen auszulösen.
Bericht über den Angriff , fand dieses Verhalten hoch bei der Inypisch für einen Ransomware-Betrieb, der es für eine Abkochung für die Espionage sein könnte. Die Angreifer haben sogar einen bestimmten Dienst namens SecurityHealthiron geschaffen, um ihren fortgesetzten Zugang zu gewährleisten. Dieser Ansatz verwandelt Angreifer von bloßen Dieben in das, was Dr. einige Cybersicherheitsexperten jetzt als”Hausbesetzer”bezeichnen. Die Bedrohungsakteure bleiben in einem Netzwerk nicht für eine sofortige Auszahlung, sondern um den langfristigen Wert eines Opfers zu bewerten, bei dem das anfängliche Lösegeld dem langfristigen Wert des Zugangs sekundär werden kann. Dieser Ansatz verändert grundlegend die Art der Bedrohung und verschiebt sie von einer einmaligen Finanzkrise in ein anhaltendes nationales Sicherheitsbedenken. Durch das Missbrauch von vertrauenswürdige Anwendungen wie Syteca können Angreifer in einem Netzwerk unentdeckt arbeiten, da ihre Aktivität mit normalen administrativen Aufgaben einbringt. Dieser „Ansatz des Landes“ wird zur Norm, bloße”Blanko”_> leer”. Taktik ist nicht für die Nebelgruppe isoliert. Frühere Berichterstattung von Mai wurden beschrieben, wie die Hunters International und Qilin Ransomware-Gruppen ein anderes Mitarbeiter-Überwachungstool, Kickidler, bewaffnet. Diese Kampagne, die erstmals in Forschungsforschung aus Synacktiv In March, Hasing von Absusing, zu einer ähnlichen Abnutzung von Ablehnung, zu einer ähnlichen Abnutzung von Absusings von Absusing, zu einem strukturierten, abgeschalteten Software, ausführte, detailliert wurde. so weit verbreitet, dass a rvtools . Gehrung Att & Ck. Diese Methode ist besonders heimtückisch, da sie die hochrangigen Privilegien der IT-Mitarbeiter nutzt, um einen leistungsstarken anfänglichen Fuß zu erreichen.
Dieser Angriffsvektor entwickelt sich weiter. Angreifer verwenden Google-Anzeigen, um Benutzer zu leiten, die nach populärer Software suchen, um böswillige Websites zu verbringen, die den Icedid Banking Trojaner verteilen. Während die Nebel-Ransomware bisher kritische Software-Schwachstellen wie ein , die wachsende Abhängigkeit von SEO-Vergiftungen und Social Engineering zeigt einen anhaltenden Fokus auf die Nutzung des menschlichen Elements. Selbst wenn diese Tools nicht aktiv waffen wurden, erzeugen sie eine zentralisierte Fülle sensibler Daten, die ein verlockendes Ziel darstellen. Ein Leck im April unterstrich dieses Risiko, als die App-WorkComposer über 21 Millionen Mitarbeiter-Screenshots von einem falsch konfigurierten Cloud-Server online geteilt wurde. Die exponierten Daten umfassten interne Dokumente, Kommunikation und potenziell sichtbare Kennwörter. According to a Electronic Frontier Foundation Staff Attorney Eva Galperin noted that while these tools create a “massive, centralized repository of sensitive data,”their terms of service often act as a “get-out-of-jail-free card for Die Anbieter.”
Dies bedeutet effektiv, dass Unternehmen ein Überwachungssystem kaufen, während sie„ es unwissentlich gegen katastrophales Versagen selbstversetzt “. Dadurch werden Unternehmen eine prekäre Position gebracht, in der die Tools, die sie für die Produktivitätsverfolgung einsetzen, erhebliche und häufig nicht versicherte Sicherheits-und Privatsphäre anfälligen. ist ein klarer Indikator dafür, dass sich die Cybersicherheitslandschaft verändert und Organisationen zwingt, über die traditionellen Abwehrkräfte hinauszuschauen und die Sicherheit der Tools in Frage zu stellen, mit denen sie ihr Geschäft führen. Die Verteidigung gegen einen Gegner, der wie ein Administrator aussieht und die zugelassene Software verwendet