TLDR
Kampanye phishing yang menargetkan administrator ScreenConnect dapat membuka pintu bagi serangan ransomware. Penggunaan teknik adversary-in-the-middle dan alat seperti EvilGinx mempermudah peretas untuk mendapatkan akses ke kredensial. Kredensial yang dicuri memungkinkan peretas untuk melakukan serangan lateral di jaringan dan menyebarkan ransomware dengan lebih efisien. Sebuah kampanye canggih telah berlangsung sejak 2022 dan menargetkan administrator cloud ScreenConnect dengan cara mencuri kredensial mereka melalui phishing. Serangan ini menggunakan akun Amazon Simple Email Service yang telah disusupi untuk mengirim email phishing yang sangat meyakinkan.Target utama dari serangan ini adalah super-administrator ScreenConnect, yaitu administrator dengan hak akses paling tinggi yang dapat mengatur dan mengendalikan infrastruktur akses jarak jauh sebuah perusahaan. Dengan kredensial ini, penyerang bisa menguasai jaringan dan aset perusahaan secara luas.Teknik yang digunakan termasuk menggunakan alat open-source bernama EvilGinx dan metode adversary-in-the-middle yang memungkinkan hacker melewati proses autentikasi dan bertahan dalam sistem korban tanpa terdeteksi.Kelompok ransomware Qilin yang terkenal dengan serangan-serangan berprofil tinggi diduga terkait dengan kampanye ini. Mereka menggunakan akses yang didapat untuk memperluas serangan dan menyebarkan ransomware secara luas ke komputer-komputer dalam jaringan korban.Ahli dari Sophos menyebutkan bahwa email phishing ini sangat mirip dengan notifikasi resmi dari ScreenConnect, sehingga sulit dikenali sebagai penipuan. Akibatnya, banyak sistem menjadi terekspos dan terkena serangan ransomware yang merugikan banyak perusahaan.