La unidad de análisis de amenazas de Google ha descubierto y detallado un grupo de hackers al que etiquetó como Exotic Lily, el que además violó un objetivo y vendió el acceso obtenido.
Además, la unidad de Google descubrió que el método preferido del grupo de hackers es el phishing selectivo. Exotic Lily llegó a enviar alrededor de 5000 correos electrónicos al día y configurar dominios similares con diferentes TLD. Un empleo de esas configuraciones fue el uso de example.co para los usuarios de example.com, y todo ello en un esfuerzo por engañar a aquellos que recibirán el correo.
Dicho grupo de hackers comenzó con personas falsas, pero recientemente empezó a extraer datos disponibles públicamente de sitios como RocketReach y CrunchBase para suplantar a los usuarios.
Exotic Lily también utilizó sitios públicos para compartir archivos, algunos de esos sitios fueron TransferNow, TransferXL, WeTransfer o OneDrive. Con el único objetivo de pasar cargas útiles a los usuarios y así dificultar la detección de los defensores, ya que tales sitios son legítimos.
De acuerdo con el grupo de análisis de amenazas, ¿para quiénes trabaja Exotic Lily?
El grupo de análisis de amenazas de Google señala lo siguiente sobre la posible colaboración en la que podría estar vinculada Exotic Lily: «Al investigar la actividad de este grupo, determinamos que son un corredor de acceso inicial. El cual parece estar trabajando con la pandilla rusa de ciberdelincuencia. Conocida como Fin12 (Mandiant, FireEye) / Wizard Spider (CrowdStrike)».
Entonces, ¿qué motiva a este grupo? La unidad de análisis también tiene una teoría sobre esto: «Exotic Lily es un grupo ingenioso y motivado financieramente. Sus actividades parecen estar estrechamente vinculadas con la exfiltración de datos y el despliegue de ransomware. Operado por humanos como Conti y Diavol».
Sumado a ello, tal grupo de hackers parece mantener un gran equilibrio entre el trabajo y la vida personal. Google comentó que la actividad del grupo es la típica de un trabajo de 9 a 5 en el este o centro de Europa. Y que tienen poca actividad los fines de semana.
A pesar de ser un grupo que tiene relaciones con pandillas de ransomware, Google dijo que Exotic Lily es una entidad separada que nada más está interesada en el acceso, mientras que los otros grupos realizan las operaciones de ransomware.
¿Y qué hará Google luego de este descubrimiento?
En consecuencia de todo esto, Google comentó que tendría una advertencia adicional de Gmail para los correos electrónicos que se originan en los formularios de contacto del sitio web. Además, desean mejorar la identificación de suplantación de identidad y ajustar la reputación de las notificaciones de intercambio de archivos por correo electrónico.
