ईरानी समूह MuddyWater एक नए साइबर हमले अभियान से जुड़ा हुआ है जो प्रवेश वेक्टर के रूप में Microsoft Teams का उपयोग करता है। हमलावर अपने पीड़ितों से संपर्क करने के लिए Microsoft तकनीकी सहायता का रूप धारण करते हैं, रिमोट एक्सेस या दुर्भावनापूर्ण सॉफ़्टवेयर की स्थापना का अनुरोध करते हैं। एक बार अंदर जाने के बाद, वे क्रेडेंशियल्स और संवेदनशील डेटा चुरा लेते हैं, और ध्यान भटकाने के लिए एक नकली रैनसमवेयर तैनात करते हैं।
प्रतिरूपण तकनीक और रिमोट एक्सेस उपकरण 🛠️
हमलावर Teams पर बातचीत शुरू करते हैं, तकनीकी सहायता कर्मियों का रूप धारण करते हुए, तत्काल सुरक्षा समस्याओं का तर्क देते हैं। इस बहाने, वे पीड़ित से ScreenConnect या AnyDesk जैसे वैध उपकरण स्थापित करने का अनुरोध करते हैं। एक बार रिमोट कंट्रोल प्राप्त करने के बाद, हमलावर सिस्टम में संग्रहीत क्रेडेंशियल्स और कॉर्पोरेट एप्लिकेशन डेटा निकाल लेते हैं। अंत में, वे एक रैनसमवेयर तैनात करते हैं जो फ़ाइलों को एन्क्रिप्ट नहीं करता, बल्कि वास्तविक डेटा चोरी को छिपाने के लिए केवल हमले का अनुकरण करता है।
नकली रैनसमवेयर: किसी और पर दोष मढ़ने का एक क्लासिक तरीका 😅
सबसे अच्छी बात यह है कि, आपके क्रेडेंशियल्स और डेटा चुराने के बाद, हमलावरों में यह शिष्टाचार होता है कि वे एक नकली रैनसमवेयर छोड़ देते हैं ताकि आप सोचें कि यह एक सामान्य हमला था, न कि कोई लक्षित घुसपैठ। यह ऐसा है जैसे कोई चोर आपके घर में घुसे, आपकी तिजोरी ले जाए, और जाने से पहले एक नोट छोड़ दे जिसमें लिखा हो यह पड़ोसी ने किया। कम से कम उन्होंने एन्क्रिप्शन का अनुकरण करने की जहमत तो उठाई, भले ही आपकी फ़ाइलें बरकरार हों और आपका Teams खाता पहले से ही डार्क वेब पर बिक्री के लिए हो।