Die cyberkriminelle Gruppe, die sich „Exotic Lilly“ nennt, fungiert als Initial-Access-Broker für zahlreiche finanziell motivierte Bedrohungsakteure, darunter FIN12 und die Conti-Ransomware-Gang. Die Threat-Analysis-Group (TAG) von Google fand heraus, dass der Bedrohungsakteur Phishing-Angriffe nutzt, um sich Zugang zu den Netzwerken von Unternehmen zu verschaffen und diesen Zugang dann an andere Gruppen verkauft, die ihn weiterverwenden.
„Wir schätzen, dass Exotic Lilly auf dem Höhepunkt ihrer Aktivität mehr als 5.000 E-Mails täglich an bis zu 650 Zielorganisationen weltweit versendet hat. Bis November 2021 schien die Gruppe auf bestimmte Branchen wie IT, Cybersicherheit und Gesundheitswesen abzuzielen, aber in letzter Zeit haben wir beobachtet, dass sie eine Vielzahl von Organisationen und Branchen angreift, ohne spezifischem Fokus“, schreiben die Forscher der TAG.
Exotic Lilly gelingt es trotz der hohen Anzahl an Angriffen immer noch, ihre Angriffsmethoden sehr spezifisch auf einzelne Unternehmen abzustimmen. Dieser Bedrohungsakteur setzt Taktiken, Techniken und Verfahren (TTPs) ein, die traditionell mit gezielteren Angriffen in Verbindung gebracht werden. Ein Beispiel dazu ist das Spoofing von Unternehmen und Mitarbeitern, um das Vertrauen einer Zielorganisation durch E-Mail-Kampagnen zu gewinnen, von denen angenommen wird, dass sie von menschlichen Anwendern mit wenig, bis gar keiner Automatisierung versendet werden.
Zudem hat es den Anschein, dass die Gruppe ihre Social-Engineering-Techniken in den letzten Monaten verbessert hat. „Anfangs erstellte die Gruppe gefälschte Identitäten, die sich als Mitarbeiter eines echten Unternehmens ausgaben. Dies beinhaltete die Kreation von Social-Media-Profilen, persönlichen Websites und die Erstellung gefälschter Profilbilder mit Hilfe eines öffentlichen Dienstes, um ein KI-generiertes menschliches Gesicht zu erzeugen. Im November 2021 begann die Gruppe, sich als echte Unternehmensmitarbeiter auszugeben, indem sie deren persönliche Daten aus sozialen Medien und Unternehmensdatenbanken wie RocketReach und CrunchBase kopierte“, erklärt TAG.
Die Angreifer nutzen diese Konten, um Spear-Phishing-Nachrichten an die Mitarbeiter der Zielunternehmen zu senden. Dabei preisen sie eine vorgetäuschte Geschäftsmöglichkeit an. So versuchen die Angreifer zur Besprechung des Projekts mit dem Zielunternehmen ein Treffen zu vereinbaren. Schließlich laden sie die Nutzlast auf einen öffentlichen Dateifreigabedienst (TransferNow, TransferXL, WeTransfer oder OneDrive) hoch. Danach wird eine eingebaute E-Mail-Benachrichtigungsfunktion genutzt, um die Datei mit dem Ziel zu teilen, so dass die abschließende Mail von der E-Mail-Adresse eines legitimen Dateifreigabedienstes stammt, was die Erkennung zusätzlich erschwert.
Menschliche Verteidigungsebene als Schlüssel gegen Social-Engineering
Bedrohungsakteure versuchen im Allgemeinen nicht, technische Schwachstellen auszunutzen, stattdessen nehmen sie die Mitarbeiter eines Unternehmens ins Visier. Es werden nicht besonders viele technische Fähigkeiten benötigt, um eine Person zu finden, die in einem Moment der Schwäche bereit ist, einen Anhang mit schadhaftem Inhalt zu öffnen. Nur ein sehr kleiner Teil der Malware versucht, eine technische Schwachstelle auszunutzen. Die überwiegende Mehrheit konzentriert sich darauf, die Benutzer durch irgendeine Art von Social-Engineering-Methoden zu täuschen. Die Sicherheitsexperten von KnowBe4 kommen deshalb zu dem Schluss, dass ein umfassendes Training des Sicherheitsbewusstseins aller Mitglieder einer Organisation das Fundament für eine ganzheitliche Verteidigungsstrategie bilden sollte. Social-Engineering-Angriffe, einschließlich Ransomware, Kompromittierung von Geschäfts-E-Mails und Phishing, sind Bedrohungen, die niemals komplett eliminiert, jedoch durch eine kontinuierliche Schulung des Sicherheitsbewusstseins in großem Maße proaktiv verhindert werden können.
#KnowBe4
