Мошенники маскируются под группу Clop: как они обманывают компании
Исследователи из Barracuda Networks выявили новую тактику кибермошенников, которые выдают себя за членов известной банды вирусов-вымогателей Clop , чтобы запугать компании и вымогать у них деньги. Этот тревожный тренд демонстрирует, как злоумышленники эксплуатируют репутацию реальных киберпреступников для проведения атак.
Как это работает?
Злоумышленники рассылают письма с угрозами, утверждая, что воспользовались уязвимостью в системе управляемой передачи файлов Cleo , чтобы получить доступ к сети жертвы. По их словам, эта атака позволила им украсть конфиденциальные данные с серверов компании.
Чтобы сделать свои угрозы более правдоподобными, мошенники прикрепляют ссылки на сообщения в СМИ о реальных атаках Clop , где говорится, что группа похитила данные 66 клиентов Cleo. Эти ссылки призваны создать видимость легитимности и убедить жертву в серьёзности ситуации.
В письме также содержится требование выплатить выкуп, иначе украденные данные якобы будут опубликованы в «блоге» Clop. Для связи предоставляется несколько адресов электронной почты, чтобы ускорить процесс переговоров.
Признаки обмана
Исследователи Barracuda подчеркнули, что такие письма часто являются фальшивыми. Подлинные требования группы Clop обычно включают конкретные детали, такие как:
· 48-часовой срок оплаты ,
· ссылки на защищённые чат-каналы для переговоров,
· частичные названия компаний, данные которых были похищены.
Если эти элементы отсутствуют, велика вероятность, что письмо — подделка.
Другие методы обмана
Эта тактика не уникальна. Недавно эксперты из GuidePoint Security и ФБР раскрыли аналогичные случаи, когда мошенники выдавали себя за группировку BianLian , чтобы обмануть компании. В таких случаях злоумышленники также утверждают, что взломали корпоративную сеть и украли конфиденциальные данные.
Фишинговые атаки становятся сложнее
В мартовском отчёте Barracuda Email Threat Radar также была выявлена активность фишинговых платформ, таких как LogoKit , которая используется для обхода традиционных средств защиты.
LogoKit, активная с 2022 года, создаёт динамические фишинговые страницы, которые адаптируются в режиме реального времени. Например, когда жертва вводит свои учётные данные, страница может меняться, чтобы казаться более достоверной. Платформа также интегрируется с популярными сервисами, такими как социальные сети и системы электронной почты, чтобы распространять свои вредоносные сообщения.
Одна из последних атак с использованием LogoKit включала письма с заголовками вроде «Требуется сброс пароля» или «Срочное действие с учётной записью» . После клика на ссылку пользователь попадает на фишинговую страницу, созданную так, чтобы имитировать портал входа в популярный сервис.
Новая угроза: SVG-файлы
Кроме того, исследователи отметили рост использования вложений в формате SVG (масштабируемая векторная графика) в фишинговых атаках. Эти файлы содержат текстовые инструкции, напоминающие XML, и могут включать встроенные скрипты, которые остаются незамеченными для многих инструментов безопасности.
"Фишинг и мошенничество становятся всё более изощрёнными. Компании должны быть предельно внимательны и внедрять современные методы защиты", — отметили эксперты Barracuda.
Дополнительная информация - https://puzater.blogspot.com/2025/03/clop.html
"Google Chrome под ударом: как искусственный интеллект угрожает вашим данным"