Hackerii se infiltrează în companiile de transport rutier și de marfă într-un plan de a fura și vinde încărcăturile, o campanie în creștere care ar putea costa companiile și consumatorii miliarde de dolari, potrivit unui nou studiu de securitate cibernetică realizat de Proofpoint.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Infractorii cibernetici vizează brokerii de marfă și transportatorii rutieri cu linkuri și e-mailuri rău intenționate pentru a implementa instrumente de monitorizare și gestionare la distanță (RMM) care le permit să deturneze încărcăturile și să fure bunuri fizice, potrivit BleepingComputer.
Cercetătorii au urmărit activitatea până în iunie, dar au găsit dovezi ale acestor tipuri de campanii care livrau NetSupport și ScreenConnect încă din ianuarie.
Potrivit firmei de securitate cibernetică Proofpoint, aceste atacuri devin din ce în ce mai populare, cu aproape două duzini de campanii înregistrate din august, fiecare dintre ele trimițând până la o mie de mesaje.
Țintele sunt în principal entități din America de Nord; cu toate acestea, Proofpoint a observat activități similare și în Brazilia, Mexic, India, Germania, Chile și Africa de Sud.
Furtul digitalizat de marfă
Furtul de marfă implică furtul de transporturi comerciale prin deturnarea camioanelor sau remorcilor în tranzit, prin redirecționarea acestora sau prin a se preface că sunt transportatori legitimi. Mărfurile sunt apoi redirecționate către puncte de ridicare frauduloase.
Biroul Național pentru Criminalitate în Asigurări din SUA (NICB) estimează pierderile din furtul de marfă în SUA la 35 de miliarde de dolari anual.
Astăzi, infractorii cibernetici se concentrează pe exploatarea lacunelor din segmentul digital al lanțului de aprovizionare, care ajută companiile să transporte mărfurile mai eficient.
Obiectivul principal al atacatorilor este să instaleze software RMM (remote monitoring and management) precum ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able și LogMeIn Resolve pe sistemele companiilor țintă, ceea ce le oferă control deplin de la distanță, recunoaștere și capacități de colectare a datelor de autentificare.
Pentru a atinge acest obiectiv, ei folosesc conturi compromise pentru portaluri de contractare pentru companii logistice pentru a posta oferte frauduloase de marfă sau pentru a sparge conturile de e-mail ale brokerilor și dispecerilor, apoi deturnează e-mail-urile pentru a conduce victimele către o adresă URL rău intenționată.
Cum se desfășoară atacurile
Potrivit cercetătorilor, infractorul își atinge obiectivul trimițând e-mailuri direct către transportatori, firme de brokeraj de marfă și furnizori integrați de lanțuri de aprovizionare, dar acest lucru s-a întâmplat mai ales în cazul entităților mai mari.
În această etapă, ingineria socială joacă un rol cheie, atacatorii adaptând mesajele pentru negocieri urgente privind încărcăturile și exploatând încrederea în sistemul folosit, demonstrând cunoștințe despre modul în care funcționează industria transportului de marfă.
Paginile externe sunt bine realizate și par legitime, afișând mărci convingătoare ale transportatorilor, și conduc la descărcarea de fișiere executabile sau fișiere MSI de instalare care instalează un instrument RMM.
Prin intermediul acestor instrumente, care sunt software legitim, atacatorul poate controla mașina compromisă și poate modifica rezervările, bloca notificările dispecerului, adăuga propriile dispozitive la extensiile telefonice ale dispecerului și rezerva încărcături sub identitatea transportatorului compromis.
„Aceste RMM-uri sunt adesea utilizate în tandem; de exemplu, s-a observat că PDQ Connect descarcă și instalează atât ScreenConnect, cât și SimpleHelp”, explică Proofpoint.
„Odată ce accesul inițial este stabilit, atacatorul efectuează recunoașterea sistemului și a rețelei și implementează instrumente de colectare a datelor, cum ar fi WebBrowserPassView”, spun cercetătorii.
Recunoașterea și colectarea datelor de identificare indică un scop mai larg al atacului, care include pătrunderea mai adânc în mediile compromise.
Proofpoint observă că atacurile sugerează cunoașterea din interior a rutelor, a momentului și a tipurilor de marfă de mare valoare, permițând infractorilor cibernetici să selecteze cele mai profitabile transporturi pe care să le fure.
Cercetătorii cred că hackerii colaborează cu grupuri de crimă organizată
Cercetătorii cred că hackerii „colaborează cu grupuri de crimă organizată pentru a compromite entități din industria transportului terestru” și pentru a deturna marfa transportată.
O companie de transport vizată de astfel de atacuri explică că hackerii i-au păcălit dispecerul să instaleze un instrument RMM și au preluat controlul asupra contului său.
Atacatorul „a șters toate e-mailurile de rezervare și a blocat notificările” și a adăugat dispozitivul său la extensia telefonică a dispecerului. Acest lucru le-a permis să se dea drept compania victimă și să vorbească direct cu brokerii.
„La rezervarea încărcăturilor, el a folosit e-mailul și numărul de telefon oficial al companiei”, spune un reprezentant al transportatorului victimă, adăugând că „brokerii, Highway, MyCarrierPackets sunau la numărul nostru și ne trimiteau e-mailuri iar hackerul răspundea, verifica totul și obținea încărcăturile”.
Marfa furată, care include produse precum alimente, băuturi și electronice, este interceptată fizic sau redirecționată și ulterior vândută online sau expediată în străinătate.
Deși Proofpoint a observat că în atacuri au fost utilizate instrumente RMM, compania menționează că în activitățile conexe au fost utilizate și programe de furt de informații, deși nu a fost posibilă atribuirea acestora unor grupuri specifice.
Astfel de infracțiuni pot provoca perturbări masive în lanțurile de aprovizionare și pot costa companiile miliarde de dolari. Deși atacurile discutate de cercetători în raportul lor se referă la furtul de marfă din America de Nord, aceștia afirmă că este vorba de o problemă globală. Nu este foarte clar de unde operează hackerii, dar Ole Villadsen, unul din autorii studiului, a spus că există indicii că ar putea fi localizați în Rusia sau Europa de Est.
Proofpoint sugerează ca organizațiile expuse riscului de furt de marfă să revizuiască Cadrul de reducere a criminalității în transportul rutier de mărfuri al Asociației Naționale de Transport Rutier de Mărfuri.
Măsurile de apărare recomandate includ restricționarea instalării instrumentelor RMM neaprobate, monitorizarea activității rețelei și blocarea atașamentelor de fișiere .EXE și .MSI la nivelul gateway-ului de e-mail și instruirea utilizatorilor pentru a identifica și raporta activitățile suspecte.
