Без взлома, без вируса, только голос. Вымогатели Pink рушат корпоративную безопасность одним телефонным разговором
NewsMakerЧто известно о группировке Pink, которая не взламывает системы, а просто просит пустить внутрь.
Кибервымогатели всё чаще обходятся без сложного взлома и начинают атаку с обычного телефонного разговора. Человека убеждают, что с ним говорит сотрудник внутренней ИТ-службы, а затем убеждают ввести учётные данные на поддельной странице.
Специалисты Unit 42 сообщили о вымогательской группировке Pink, которую отслеживают как кластер CL-CRI-1147. По их данным, злоумышленники используют голосовой фишинг для первичного доступа к корпоративным системам, после чего быстро крадут данные и переходят к шантажу.
Google Threat Intelligence считает , что Pink может быть не новой группировкой, а очередным названием уже известной команды. По версии компании, после того как бренд BlackFile закрылся в мае 2026 года, злоумышленники запустили Redact, а затем могли появиться под названием Pink.
Google связывает эту активность с UNC6671. Аналитики указывают на похожую инфраструктуру, чтобы красть учётные данные, схожий сайт утечек и повторяющиеся сообщения, в которых преступники утверждают, что якобы помогают жертвам «улучшить безопасность» после того как жертвы платят.
Сайт утечек Pink, судя по публикациям на самом ресурсе, заработал 31 мая 2026 года. За несколько дней на нём уже появились предполагаемые жертвы, при этом группировка не заявляет о связи с более ранними преступными командами.
Unit 42 связывает Pink с криминальной средой Com. Так называют разрозненное сообщество злоумышленников, чьи участники применяют социальную инженерию , похищают учётные записи и занимаются вымогательством. По набору приёмов новая активность похожа на операции Bling Libra, также известной как ShinyHunters , и кластера CL-CRI-1116, связанного с Blackfile и Redact.
Схема атаки начинается со звонка жертве. Злоумышленник представляется сотрудником внутренней ИТ-службы и убеждает пользователя ввести данные на фишинговом сайте. После этого преступники получают доступ к корпоративной учётной записи и обходят многофакторную проверку.
Получив доступ, Pink быстро ищет и выгружает сведения из корпоративных облачных хранилищ, рабочих сервисов и баз данных. Среди упомянутых платформ – SharePoint и OneDrive. Затем злоумышленники используют уже скомпрометированную учётную запись, чтобы отправить письмо с требованием выкупа и разослать сообщения во внутренних чатах Microsoft Teams.
В одном из случаев, который расследовала Unit 42, ранее начатые переговоры по вымогательству долго оставались без ответа. 1 июня 2026 года злоумышленник снова вышел на связь с бесплатной почты, передал новый идентификатор qTox и ссылку на сайт утечек Pink. При этом преступник ссылался почти на тот же набор украденных данных, который фигурировал в первом уведомлении о шантаже. Жертве дали 72 часа на ответ. Такой срок часто используют вымогатели, чтобы усилить давление и заставить компанию быстрее вступить в переговоры.
Для атак Pink повторно использует домены второго уровня против разных организаций, а домены третьего уровня обычно подбирает под конкретную цель. По данным Unit 42, такие фишинговые ресурсы размещались через DDoS-Guard.
Среди выявленных фишинговых доменов указаны passkeyadd[.]com, passkeydeploy[.]com и deploypasskey[.]com. Также специалисты привели IP-адреса, связанные с тем, как злоумышленники размещали фишинговые страницы, получали доступ к скомпрометированным учётным записям и создавали вымогательские письма. Когда злоумышленники выгружали данные, наблюдались строки пользователя Microsoft.Graph.Client/5.62.0, python-requests/2.28.1 и python-requests/2.33.1.
Защитникам корпоративных сетей стоит особенно внимательно относиться к звонкам в службу поддержки. Проверять нужно и обращения от людей, которые называют себя сотрудниками без доступа к аккаунту, и звонки от якобы ИТ-службы с просьбой срочно пройти обновление многофакторной проверки или подтвердить доступ к рабочей системе.
Кибервымогатели всё чаще обходятся без сложного взлома и начинают атаку с обычного телефонного разговора. Человека убеждают, что с ним говорит сотрудник внутренней ИТ-службы, а затем убеждают ввести учётные данные на поддельной странице.
Специалисты Unit 42 сообщили о вымогательской группировке Pink, которую отслеживают как кластер CL-CRI-1147. По их данным, злоумышленники используют голосовой фишинг для первичного доступа к корпоративным системам, после чего быстро крадут данные и переходят к шантажу.
Google Threat Intelligence считает , что Pink может быть не новой группировкой, а очередным названием уже известной команды. По версии компании, после того как бренд BlackFile закрылся в мае 2026 года, злоумышленники запустили Redact, а затем могли появиться под названием Pink.
Google связывает эту активность с UNC6671. Аналитики указывают на похожую инфраструктуру, чтобы красть учётные данные, схожий сайт утечек и повторяющиеся сообщения, в которых преступники утверждают, что якобы помогают жертвам «улучшить безопасность» после того как жертвы платят.
Сайт утечек Pink, судя по публикациям на самом ресурсе, заработал 31 мая 2026 года. За несколько дней на нём уже появились предполагаемые жертвы, при этом группировка не заявляет о связи с более ранними преступными командами.
Unit 42 связывает Pink с криминальной средой Com. Так называют разрозненное сообщество злоумышленников, чьи участники применяют социальную инженерию , похищают учётные записи и занимаются вымогательством. По набору приёмов новая активность похожа на операции Bling Libra, также известной как ShinyHunters , и кластера CL-CRI-1116, связанного с Blackfile и Redact.
Схема атаки начинается со звонка жертве. Злоумышленник представляется сотрудником внутренней ИТ-службы и убеждает пользователя ввести данные на фишинговом сайте. После этого преступники получают доступ к корпоративной учётной записи и обходят многофакторную проверку.
Получив доступ, Pink быстро ищет и выгружает сведения из корпоративных облачных хранилищ, рабочих сервисов и баз данных. Среди упомянутых платформ – SharePoint и OneDrive. Затем злоумышленники используют уже скомпрометированную учётную запись, чтобы отправить письмо с требованием выкупа и разослать сообщения во внутренних чатах Microsoft Teams.
В одном из случаев, который расследовала Unit 42, ранее начатые переговоры по вымогательству долго оставались без ответа. 1 июня 2026 года злоумышленник снова вышел на связь с бесплатной почты, передал новый идентификатор qTox и ссылку на сайт утечек Pink. При этом преступник ссылался почти на тот же набор украденных данных, который фигурировал в первом уведомлении о шантаже. Жертве дали 72 часа на ответ. Такой срок часто используют вымогатели, чтобы усилить давление и заставить компанию быстрее вступить в переговоры.
Для атак Pink повторно использует домены второго уровня против разных организаций, а домены третьего уровня обычно подбирает под конкретную цель. По данным Unit 42, такие фишинговые ресурсы размещались через DDoS-Guard.
Среди выявленных фишинговых доменов указаны passkeyadd[.]com, passkeydeploy[.]com и deploypasskey[.]com. Также специалисты привели IP-адреса, связанные с тем, как злоумышленники размещали фишинговые страницы, получали доступ к скомпрометированным учётным записям и создавали вымогательские письма. Когда злоумышленники выгружали данные, наблюдались строки пользователя Microsoft.Graph.Client/5.62.0, python-requests/2.28.1 и python-requests/2.33.1.
Защитникам корпоративных сетей стоит особенно внимательно относиться к звонкам в службу поддержки. Проверять нужно и обращения от людей, которые называют себя сотрудниками без доступа к аккаунту, и звонки от якобы ИТ-службы с просьбой срочно пройти обновление многофакторной проверки или подтвердить доступ к рабочей системе.