Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Эксперты рассказали о брокере начального доступа Exotic Lily, чьими услугами пользуются Conti

21/03/22

hack50-Mar-21-2022-08-38-50-04-AMСпециалисты из Google Threat Analysis Group рассказали о группировке под названием Exotic Lily, занимающейся взломами организаций и продажей доступа к их сетям.

Главным методом, которым пользуется группировка для получения доступа к сетям атакуемых организаций, является целенаправленный фишинг. Ежедневно злоумышленники рассылают порядка 5 тыс. электронных писем, направляющих жертв на подконтрольные им домены, очень похожие на легитимные (например, пользователи example.com направляются на example.co).

Фишеры выдают себя за выдуманных личностей, а в последнее время стали брать данные из сервисов поиска деловой информации наподобие RocketReach и CrunchBase и выдавать себя за реальных людей. Кроме того, они используют легитимные файлообменные сайты, в том числе TransferNow, TransferXL, WeTransfer и OneDrive, для передачи жертвам полезной нагрузки в обход решений безопасности.

Клиентами Exotic Lily являются русские киберпреступные группировки Fin12 (она же Wizard Spider), Conti и Diavol.

Группа, по-видимому, поддерживает высокий уровень баланса между работой и личной жизнью, поскольку ее активность типична для рабочего дня с 9:00 до 17:00 в Восточной и Центральной Европе, с небольшой активностью в выходные дни.

Хотя Exotic Lily тесно связана с кибервымогательскими группировками, она является отдельной организацией, и сфера ее интересов ограничивается только начальным доступом. Развертыванием вымогательского ПО занимаются другие.

Темы:УгрозыContiначальный доступ

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...