2025 m. pradžioje kibernetinio saugumo kompanija „Sophos“ aptiko pavojingą išpirkos reikalaujančio viruso ataką, susijusią su „3AM“ grėsmių grupe. Ši grupė pasitelkia ne tik techninius įsilaužimo būdus, bet ir itin išradingą socialinę inžineriją: netikrus IT skambučius bei el. pašto bombų siuntimą, kad apgautų įmonių darbuotojus ir gautų prieigą prie vidinių sistemų.
Naujas, bet pažįstamas metodas
„3AM“ naudoja jau anksčiau „Black Basta“ bei FIN7 grupių išbandytą ir pasitvirtinusį metodą: darbuotojai apgaunami intensyvia el. pašto atakų banga, o tuo pačiu metu jiems skambinama iš tariamai tikro IT skyriaus telefono numerio. Tikslas – sukurti skubos ir nerimo atmosferą, dėl kurios darbuotojai lengviau patiki, kad jų kompiuteriai iš tikrųjų yra pažeisti.
Realus atvejis: kaip buvo nulaužta sistema
Vienas iš „Sophos“ klientų tapo šios schemos auka:
- Per tris minutes darbuotojas gavo 24 nepageidaujamus laiškus (vadinamasis email bombing).
- Tuo metu paskambino „IT specialistas“ iš suklastoto įmonės numerio ir įtikino darbuotoją paleisti Microsoft Quick Assist programą.
- Užvaldęs nuotolinę prieigą, užpuolikas atsisiuntė archyvą su žalingu skriptu, virtualios mašinos emuliatoriumi QEMU ir Windows 7 aplinka, kurioje jau veikė QDoor kenkėjiška programa.
QEMU buvo naudojama kaip maskuotė, leidžianti nepastebimai naršyti įmonės tinklą, atlikti žvalgybą, sukurti naujas administratoriaus paskyras ir galiausiai pavogti net 868 GB duomenų, kuriuos išsiuntė į „Backblaze“ debesijos paslaugą per „GoodSync“ įrankį.
Laimei, „Sophos“ saugumo sprendimai sustabdė tolesnį viruso plitimą ir užšifravimo veiksmus. Tačiau žala – didžiulė.
Kodėl tai pavojinga
Šis atakos modelis parodo, kaip pavojingas gali būti žmogiškasis faktorius – net ir pati geriausia saugumo sistema gali būti apeita, jei darbuotojai patiki melaginga informacija. Tai nėra tik techninė problema – tai pasitikėjimo, žinių ir pasirengimo klausimas.
Kaip apsisaugoti?
„Sophos“ siūlo kelias esmines apsaugos priemones:
- Administracinių paskyrų auditas – nustatyti silpnas slaptažodžių politikos vietas.
- XDR sprendimų diegimas – aptikti ir blokuoti neteisėtai naudojamus teisėtus įrankius (pvz., QEMU, GoodSync).
- PowerShell politikos griežtinimas – leisti vykdyti tik pasirašytus skriptus.
- IOCs (kompromitavimo indikatoriai) – sukurti blokavimo sąrašus pagal žinomus kenkėjiškus adresus ar domenus.
- Darbuotojų mokymas – tai bene svarbiausias žingsnis. Niekas taip neapsaugos nuo apgavysčių, kaip išprusę, budrūs darbuotojai.
Kas slypi už „3AM“?
„3AM“ grupuotė atsirado 2023 m. pabaigoje ir jau yra susijusi su buvusiomis galingomis kenkėjiškomis organizacijomis „Conti“ ir „Royal“. Jų naudojama taktika, technologinis išmanymas bei išnaudojama psichologija rodo, kad tai viena pavojingiausių grėsmių verslo saugumui šiandien.
„3AM“ ataka – tai ne tik įspėjimas apie technologinę riziką, bet ir priminimas, kad kibernetinis saugumas yra visų atsakomybė. Technologijos gali padėti, bet be sąmoningo žmogaus prie klaviatūros jos yra bejėgės. Laikas investuoti ne tik į ugniasienes, bet ir į žinias.
Šaltinis: bleepingcomputer.com
