Új adatzsaroló csoport jelent meg: a Pink kifinomult adathalász infrastruktúrával vadászik nagyvállalati célpontokra

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

Egy új, Pink néven azonosított adatzsaroló csoport került a biztonsági kutatók látóterébe, amely jól példázza, hogyan alakul át a zsarolóvírusos fenyegetések világa. A támadók ugyanis nem a hagyományos ransomware-modellt követik, hanem a gyors adatlopásra és az azt követő zsarolásra építenek. A SOCRadar és a Palo Alto Networks Unit 42 elemzése szerint a csoport elsődleges fegyvere a vishing, vagyis a telefonos adathalászat, amelynek segítségével nagy értékű vállalati célpontokhoz szereznek hozzáférést.

A Pink 2026 május végén indította el saját adatszivárogtató oldalát (Data Leak Site), ahol már több áldozat neve is megjelent. A kutatók szerint a csoport nagy valószínűséggel kapcsolatban áll a The Com néven ismert nemzetközi kiberbűnözői ökoszisztémával, amelyhez olyan ismert szereplők is köthetők, mint a ShinyHunters vagy a Scattered Spider. Több technikai és infrastrukturális hasonlóság arra utal, hogy a Pink akár a korábban BlackFile vagy Redacted néven ismert csoport új „márkája” is lehet.

A támadások jellemzően egy telefonhívással indulnak. A bűnözők vállalati IT-munkatársnak adják ki magukat, majd valamilyen sürgős fiók- vagy hitelesítési problémára hivatkozva ráveszik az alkalmazottakat, hogy egy speciálisan előkészített adathalász oldalra látogassanak. A cél a Microsoft Entra ID vagy az Okta hitelesítési adatok megszerzése, beleértve a többtényezős hitelesítéshez (MFA) kapcsolódó információkat is. A támadók nemcsak egyszerű jelszóhalászatra képesek, hanem egyes esetekben passkey-regisztrációk és helyreállítási kulcsok megszerzésére is próbálják rávenni az áldozatokat.

A Pink egyik legérdekesebb sajátossága a rendkívül fejlett adathalász infrastruktúra. A kutatók olyan phishing kiteket azonosítottak, amelyek még azelőtt ellenőrzik a látogató környezetét, hogy az adathalász oldal egyáltalán megjelenne. Az úgynevezett „Evasion Gate” mechanizmus célja a biztonsági kutatók, sandboxok és automatizált elemző rendszerek kiszűrése. A rendszer valós időben vizsgálja a látogatók környezetét, és csak az előzetesen jóváhagyott célpontok számára jeleníti meg a tényleges adathalász felületet. Ez jelentősen megnehezíti a phishing infrastruktúra felderítését és elemzését.

A sikeres hitelesítőadat-lopást követően a támadók gyorsan továbblépnek. Elsődleges célpontjaik a Microsoft 365 környezetekben tárolt vállalati adatok, különösen a SharePoint és a OneDrive rendszerek. A kutatások szerint a Pink legitim Microsoft Graph API-hívásokat és automatizált eszközöket használ az érzékeny fájlok tömeges összegyűjtésére, így a tevékenység könnyebben beleolvad a normál felhasználói forgalomba. A csoport nem törekszik hosszú távú jelenlétre a hálózatban: a cél az adatok gyors megszerzése és az azonnali zsarolás.

A megszerzett hozzáféréseket a Pink rövid időn belül újabb nyomásgyakorlásra használja fel. A támadók gyakran a kompromittált Microsoft 365-fiókokból küldenek zsaroló üzeneteket e-mailben és Microsoft Teamsen keresztül, ami különösen hitelessé teszi a fenyegetéseket a szervezeten belül. Az áldozatok rendszerint 72 órát kapnak a kapcsolatfelvételre és a fizetésre, mielőtt az ellopott adatokat nyilvánosságra hoznák.

A kutatók szerint a Pink elsősorban az amerikai egészségügyi, biotechnológiai, technológiai és pénzügyi szektor szereplőit célozza, ami egyértelműen a Big Game Hunting stratégiára utal. Ebben a modellben a támadók kevesebb, de jelentősen nagyobb és értékesebb célpontot választanak, ahol az adatvesztés és a reputációs kár sokkal nagyobb üzleti kockázatot jelent.

Védekezés szempontjából a szakértők szerint már nem elegendő kizárólag a technológiai kontrollokra támaszkodni. A telefonos social engineering elleni tudatosság növelése, a phishing-ellenálló MFA-megoldások (például FIDO2-alapú hardverkulcsok) bevezetése, valamint a Microsoft 365 környezetek folyamatos monitorozása kulcsfontosságú. Emellett érdemes figyelni a szokatlan Microsoft Graph API-használatra, a nagyméretű SharePoint- és OneDrive-letöltésekre, valamint blokkolni a kampányokhoz köthető ismert adathalász domaineket. A Pink megjelenése jól mutatja, hogy a modern adatzsaroló csoportok egyre inkább az emberi tényező kihasználására és a felhőalapú környezetek gyors kifosztására építik működésüket.