מכת קובלט בטלגרם: התוקפים משתמשים בשמו של רוס אולברייט להתקפות

תוקפים בפלטפורמת X* (לשעבר טוויטר) משתמשים בחדשות האחרונות על רוס אולברייט כדי למשוך משתמשים לערוץ טלגרם הונאה. שם, הקורבנות מתבקשים לבצע פקודות PowerShell שמדביקות את המכשירים שלהם בתוכנה זדונית.

לִתְקוֹף, התגלה מאת vx-underground researchers, היא גרסה חדשה של טקטיקת "Click-Fix", המשמשת באופן פעיל להפצת תוכנות זדוניות. במקרה זה, התוקפים אינם משתמשים ב"תיקוני באגים", אלא ב-captcha מזויף או מערכת אימות הדורשת הפעלת קוד כדי לאשר.

בעבר, מומחי Guardio Labs ו-Infoblox דיווחו על מסע פרסום שבו, במסווה של קפטצ'ה, משתמשים התבקשו לבצע פקודות PowerShell כדי לאשר שהם לא בוטים.

פיתוי עם אולבריכט

Ross Ulbricht, מייסד פלטפורמת Darknet הידועה לשמצה Silk Road, משמש כפיתיון. דרך המשי פעלה כמרכז לסחר בסחורות ושירותים בלתי חוקיים. ב-2015 נידון אולבריכט למאסר עולם, מה שעורר מחלוקת בשל חומרת העונש המופרזת. השבוע, דונלד טראמפ, כפי שהובטח בעבר, חתם על צו החנינה לאולבריכט.

התוקפים ניצלו את האירוע הזה על ידי יצירת חשבונות Ulbricht מזויפים ב-X* והפניית אנשים לערוצי טלגרם הונאה המחופשים לפורטלים רשמיים.

החשבון המזויף של אולבריכט. מָקוֹר: vx-underground

בטלגרם, הרמאים מציעים לעבור אימות מזויף בשם "הגנה". התהליך כולל שימוש בווידג'ט של טלגרם שמעתיק קוד PowerShell זדוני ללוח של המכשיר ומשכנע את המשתמשים להדביק אותו בשורת הפקודה של Windows ולהפעיל אותו.

הוראות לקורבן

לאחר ביצוע, הפקודה מורידה ומפעילה סקריפט PowerShell שמוריד ארכיון ZIP מהאתר http://openline[.]חֲדָשׁוֹת . הארכיון מכיל קובץ זדוני, identity-helper.exe, כביכול מטעין Cobalt Strike. לעתים קרובות נעשה שימוש ב-Cobalt Strike האקרים להשיג גישה מרחוק למחשבים ולרשתות, שלעתים קרובות מקדימה התקפות של תוכנות כופר וגניבת נתונים.

התוקפים משתמשים בכוונה בשפה חכמה ובניסוח משכנע כדי שהקורבנות לא יחשדו בטריק מלוכלך.

מומחים מזהירים: לעולם אל תפעיל פקודות שהועתקו מהאינטרנט בלי אָנָלִיזָה התוכן שלהם. אם יש ערפול בטקסט, זה אמור לעורר חשדות.

* הרשת החברתית אסורה בשטח הפדרציה הרוסית.

חברת הטכנולוגיה האמריקאית Conduent, שעובדת עם חוזים ממשלתיים, דיווחה על כך התרסקות לאחרונה במערכות ההפעלה שלה נגרמה ממתקפת סייבר הקשורה לפשרה של קבלן צד שלישי.

מומחי אבטחת סייבר שנשכרו על ידי Conduent אישרו כי אין כרגע סימנים לפעילות זדונית בתשתית הטכנולוגית של החברה. עם זאת, שחזור המערכות לקח זמן רב והביא להפסקות של מספר ימים בחלק מהפעולות.

החברה לא מסרה פרטים על מהות התקיפה ולא פירטה אם היא קשורה תַקרִית באמצעות תוכנת כופר או דליפת נתונים.

Conduent היא קבלן מרכזי עבור סוכנויות ממשלתיות בארה"ב, המספקת פתרונות טכנולוגיים עבור Medicaid, מזונות ילדים, סיוע במזון ותוכניות שירותים חברתיים אחרות. החברה משרתת כ-100 מיליון אמריקאים על ידי עזרה לסוכנויות מדינתיות ופדרליות לייעל עלויות, להגדיל את שיעורי ההשתתפות בתוכנית ולשפר את תאימות התוכנית.

דיווחים על ההפסקה החלו לצוץ בשבוע שעבר כאשר מחלקת הילדים והמשפחות בוויסקונסין הכריז על חוסר האפשרות לעבד תשלומים, נשלח בדואר עקב בעיה במערכות Conduent.

הורים ומקבלי גמלה רבים התמודדו עם קשיים עקב דחיית תשלומים. ביצועי המערכת שוחזר ביום ראשון לאחר מכן החלה המחלקה לטפל בתשלומים דחויים. החברה גם הקצתה משאבים נוספים כדי להאיץ את התהליך.

רשויות ויסקונסין דיווחו שההפסקה השפיעה על שלוש מדינות נוספות, אך לא ציינו על אילו אזורים בארה"ב הם מדברים. נציגי Conduent גם סירבו להגיב על אילו מדינות אחרות חוו הפסקות.

ההפסקה השפיעה על תשלומים שבוצעו באמצעות כרטיסי EFT או EBT, אך תשלומים שבוצעו באמצעות ניכויי שכר המשיכו לזרום ויעובדו לאחר שחזור המערכות במלואן. נציגי מדינת ויסקונסין ציינו כי הם מבינים את חומרת המצב ואת השפעתו על אנשים רגילים.

ראוי לציין שבשבוע שעבר Conduent חתם על חוזה 92 מיליון דולר עם מדינת אלסקה כדי לחדש ולנהל את מערכת המידע שלה Medicaid.

החברה מחלקת כ-100 מיליארד דולר בשנה בהטבות ממשלתיות ודיווחה על הכנסות של יותר מ-800 מיליון דולר ברבעון הפיסקאלי האחרון שלה.

מומחה אבטחת סייבר קווין ביומונט הזכיר
ש-Conduent כבר התמודדה עם מתקפת כופר ב-2020.