El Grupo de análisis de amenazas de Google ha detallado un grupo al que ha etiquetado como Exotic Lily que violó un objetivo y vendió el acceso obtenido.
El método preferido para obtener objetivos es el phishing selectivo, con el grupo enviando alrededor de 5000 correos electrónicos al día y configurando dominios similares con diferentes TLD, como el uso de example.co para los usuarios de example.com, en un esfuerzo por engañar a aquellos en el extremo receptor.
También comenzó con personas falsas, pero recientemente comenzó a extraer datos disponibles públicamente de sitios como RocketReach y CrunchBase para suplantar a los usuarios.
El grupo también usó sitios públicos para compartir archivos, incluidos TransferNow, TransferXL, WeTransfer o OneDrive, para pasar cargas útiles a los usuarios y dificultar la detección de los defensores, ya que los sitios son legítimos.
«Al investigar la actividad de este grupo, determinamos que son un corredor de acceso inicial que parece estar trabajando con la pandilla rusa de ciberdelincuencia conocida como Fin12 (Mandiant, FireEye) / Wizard Spider (CrowdStrike)», dijo Google.
«Exotic Lily es un grupo ingenioso y motivado financieramente cuyas actividades parecen estar estrechamente vinculadas con la exfiltración de datos y el despliegue de ransomware operado por humanos como Conti y Diavol».
El grupo también parece mantener un alto grado de equilibrio entre el trabajo y la vida personal, ya que Google dijo que la actividad que ha visto es típica de un trabajo de 9 a 5 en el este o centro de Europa, con poca actividad los fines de semana.
Aunque el grupo tiene relaciones con pandillas de ransomware, Google dijo que Exotic Lily es una entidad separada que solo está interesada en el acceso, mientras que otros grupos realizan las operaciones de ransomware.
A raíz de su descubrimiento, Google dijo que tendría una advertencia adicional de Gmail para los correos electrónicos que se originan en los formularios de contacto del sitio web, mejoraría su identificación de suplantación de identidad y ajustaría la reputación de las notificaciones de intercambio de archivos por correo electrónico.
