Wzrosło zagrożenie atakiem w ramach działania grupy Ducktail

Ducktail to cyberprzestępcza grupa której celem są osoby i organizacje działające na platformie biznesowej i reklamowej Facebooka.

Cyberprzestępcy biorą na cel pracowników, którzy mogą mieć dostęp do konta firmowego na Facebooku za pomocą złośliwego oprogramowania kradnącego informacje. Złośliwe oprogramowanie ma na celu kradzież plików cookie i wykorzystanie uwierzytelnionych sesji Faceboooka do kradzieży informacji z konta ofiary na Facebooku, a ostatecznie przejęcie dowolnego konta Facebook Business, do którego ofiara ma dostęp.

Eksperci z firmy WithSecure*, którym udało się jako pierwszym zidentyfikować zagrożenie związane z Ducktail,doszli do wniosku, że za atakami stoi organizacja cyberprzestępcza z Wietnamu. Jak wskazują dowody, motywem ich działań jest najprawdopodobniej chęć uzyskania korzyści finansowych.

Intensyfikacja działań oraz zmiany w sposobie działania

W związku z podjęciem przez zagrożone firmy, działań mających na celu minimalizację zagrożenia, grupa Ducktail zmodyfikowała w ostatnim czasie swoje sposoby działania. Oprócz większego zaangażowania zasobów ludzkich, grupa cyberprzestępców zaczęła wykorzystywać również nowe kanały ataków phishingowych np. Whatsapp (wcześniej głównie LinkedIn). Narzędzia wykorzystywane przez tą grupę cyberprzestępców zyskały bardziej wiarygodny wygląd, nastąpiła również zmiana formatu plików oraz kontrasygnowanie certyfikatów, co pozwoliło na skuteczniejsze omijanie zabezpieczeń.

Głównym targetem przeprowadzanych ataków były firmy działające w branży reklamowej, w przypadku skutecznego ataku straty wahały się w przedziale od 100 tys do 600 tys USD.

Jakie działania należy podjąć aby skutecznie zabezpieczyć się przed działaniami grupy Ducktail? 
  • zaleca się aby wewnątrz organizacji podjęte zostały działania skutkujące zwiększeniem świadomości odnośnie zagrożeń płynących z phishingu ( polecamy narzędzie do przeprowadzania symulowanych kampanii phishingowych wraz z kończącym je szkoleniem od firmy Sophos),
  • stosowanie przez administratorów polityki kontroli aplikacji
  • wykorzystywanie rozwiązań typu XDR/EDR, w celu identyfikowania i przeciwdziałania zagrożeniom już na wczesnych etapach ataku
  • przeprowadzenie audytu cyberbezpieczeństwa w organizacji, zwłaszcza na urządzeniach, które wykorzytywane są do logowania się na firmowe konto na Facebooku
  • w sytuacji wystąpienia zagrożenia, zaleca się natychmiastowe pobieranie i analizę logów
  • korzystanie z trybu prywatnego w przeglądarce, w celu uwierzytelnienia każdej sesji roboczej podczas uzyskiwania dostępu do konta firmowego na Facebooku

Jeśli, zastanawiają się Państwo, nad tym w jaki sposób podnieść świadomość swoich pracowników odnośnie cyberzagrożeń ale nie przekonują Państwa tradycyjne szkolenia, zachęcamy do skorzystania z nowoczesnej formy szkolenia w technologii VR – polecamy nasz nowy produkt Company (Un)Hacked.

Źródła:

*Raport odnośnie zmian, jakie zaszły w technice działania stosowanej przez grupę Ducktail