Требуются: Недовольные сотрудники для распространения программ-вымогателей

Преступные хакеры готовы пойти практически на все, чтобы проникнуть на прибыльное предприятие и получить миллионные выплаты за заражение вымогательским ПО. По-видимому, теперь это включает в себя рассылку электронных писем непосредственно сотрудникам и их просьбу запустить вредоносное ПО в сети их работодателя в обмен на процент от суммы выкупа, выплачиваемого компанией-жертвой.

Изображение: Abnormal Security.

Крейн Хассольд, директор по анализу угроз в Abnormal Security, описал, что произошло после того, как он взял поддельную личность и ответил на предложение, показанное на скриншоте выше. В нем предлагалось заплатить ему 40 процентов от суммы выкупа в миллион долларов, если он согласится запустить их вредоносное ПО в сети своего работодателя.

Этот мошенник оказался довольно разговорчивым, и в течение пяти дней выяснилось, что корреспондент Hassold был вынужден изменить свой первоначальный подход к планированию развертывания штамма вымогательского ПО DemonWare, который находится в свободном доступе на GitHub.

“По словам этого агента, изначально он собирался разослать своим целям – всем руководителям высшего звена – фишинговые электронные письма, чтобы скомпрометировать их учетные записи, но после того, как это не увенчалось успехом, он переключился на этот предлог для выкупа”, – пишет Хассольд.

Компания Abnormal Security описала, как она связала это письмо с молодым человеком из Нигерии, который признался, что пытается накопить деньги для финансирования новой социальной сети, которую он создает под названием Sociogram.

Изображение: Abnormal Security.

Основатель Sociogram Олувасеун Медаедупин, с которым связались через LinkedIn, попросил убрать название его стартапа из статьи, хотя он не ответил на вопросы о том, были ли неточности в отчете Хассольда.

“Пожалуйста, не вредите репутации Sociogram”, – умолял Медаедупин. “Я прошу вас как перспективный молодой человек”

Подход этого злоумышленника может показаться довольно любительским, но было бы ошибкой отвергать угрозу со стороны западноафриканских киберпреступников, занимающихся программами-выкупами. Хотя многомиллионные выплаты за выкупное ПО занимают все большее место в заголовках газет, на сегодняшний день самые большие финансовые потери, связанные с киберпреступностью, ежегодно происходят в результате так называемого компрометации деловой электронной почты (BEC) или аферы генерального директора, когда мошенники, базирующиеся в основном в Африке и Юго-Восточной Азии, подделывают сообщения от руководителей целевой фирмы, чтобы инициировать несанкционированные международные электронные переводы.

Согласно последним данным (PDF), опубликованным Центром жалоб на интернет-преступления ФБР (IC3), зарегистрированные убытки от BEC-мошенничества продолжают превосходить другие категории убытков от киберпреступлений, увеличившись до $1,86 млрд в 2020 году.

Изображение: ФБР

“Знание того, что действующее лицо – нигериец, делает всю историю полной неожиданностью и обеспечивает некоторый примечательный контекст тактики, использованной в первоначальном письме, которое мы идентифицировали”, – написал Хассольд. “На протяжении десятилетий мошенники из Западной Африки, в основном из Нигерии, совершенствовали использование социальной инженерии в киберпреступной деятельности”

“Хотя наиболее распространенной кибератакой, которую мы наблюдаем со стороны нигерийских субъектов (и наиболее разрушительной атакой в мире), является компрометация деловой электронной почты (BEC), вполне логично, что нигерийские субъекты будут использовать подобные методы социальной инженерии даже при попытке успешного внедрения более технически сложной атаки, такой как ransomware”, – заключил Хассольд.

НЕ БРОСАЙТЕ СВОЮ РАБОТУ

Киберпреступники ищут недовольных сотрудников – это едва ли новое явление. Крупные компании уже давно обеспокоены вполне реальной угрозой того, что недовольные сотрудники создают свои личные данные на сайтах даркнета, а затем предлагают за определенную плату уничтожить сеть своего работодателя (подробнее об этом читайте в моей статье 2016 года “Рост даркнета вызывает страх перед инсайдерами”)

Действительно, возможно, этот предприимчивый нигерийский мошенник просто идет в ногу с современными тенденциями. Несколько известных партнерских банд, занимающихся распространением программ-вымогателей, которые недавно провели ребрендинг под новыми знаменами, похоже, отказались от партнерской модели в пользу покупки незаконного доступа к корпоративным сетям.

Например, банда Lockbit 2.0 ransomware-as-a-service на самом деле включает предложение для инсайдеров в обои рабочего стола, оставленные на системах, зашифрованных вредоносной программой.

“Хотите заработать миллионы долларов? Наша компания приобретает доступ к сетям различных компаний, а также инсайдерскую информацию, которая поможет вам украсть самые ценные данные любой компании”, – гласит необычное объявление LockBit. “Вы можете предоставить нам учетные данные для доступа к любой компании, например, логин и пароль к RDP, VPN, корпоративной почте и т.д. Откройте наше письмо на своей электронной почте. Запустите предоставленный вирус на любом компьютере вашей компании. Компании выплачивают нам вознаграждение за расшифровку файлов и предотвращение утечки данных.”

Изображение: Sophos.

Аналогичным образом, недавно сформированная банда BlackMatter ransomware начала свое присутствие на киберпреступных форумах с непритязательной темы “Покупка/монетизация доступа к корпоративным сетям” Остальная часть сообщения гласит:

Мы ищем доступ к корпоративным сетям в следующих странах:
– США
– Канада
– Австралия
– Великобритания

Все направления деятельности, кроме:
– Здравоохранение
– Государственные учреждения.

Требования:
– Доход по данным ZoomInfo: более 100 миллионов.
– Количество хостов: 500 – 15 000.
– Мы не принимаем сети, над которыми уже пытался работать кто-то другой.

Два варианта сотрудничества:
– Мы покупаем сети: 3 до 100 тысяч.
– Мы монетизируем их (предмет переговоров в каждом конкретном случае).

Как мы работаем:
Вы выбираете вариант сотрудничества. -> Вы предоставляете доступ к сети. -> Мы проверяем его. -> Мы принимаем его или нет (в зависимости от того, соответствует ли он требованиям).

Оставьте комментарий