Хакеры подкупают сотрудников для развертывания программ-вымогателей на компьютерах компании
Термин «программа-вымогатель» используется для описания любого типа вредоносного ПО (вредоносного ПО), которое шифрует или блокирует данные на устройстве и требует выкупа для их расшифровки.
Атаки программ-вымогателей развивались на протяжении многих лет, и киберпреступники использовали все более изощренные методы для нацеливания на организации и отдельных лиц.
Этим летом исследователи кибербезопасности заметили хакера, пытавшегося подкупить сотрудников для развертывания программ-вымогателей на компьютерах их компании.
Подкуп сотрудников: что случилось?
В августе Abnormal Security заметила, что сотрудники получали электронные письма с просьбами стать соучастниками атаки с использованием программ-вымогателей. Злоумышленник отправил сотрудникам электронное письмо с сообщением, что им будет выплачено 40 процентов от выкупа в размере 2,5 миллиона долларов за развертывание программ-вымогателей на компьютерах их компании, физически или удаленно, и оставил контактную информацию.
Киберпреступники обычно развертывают программы-вымогатели через вложения электронной почты или через виртуальную частную сеть (VPN). Естественно, исследователям Abnormal Security было интересно узнать о методах этого конкретного злоумышленника, поэтому они решили изобразить сотрудника, желающего участвовать в схеме, и обратились к мошенникам.
Ответственный исполнитель угрозы
Злоумышленник быстро отреагировал, менее чем за час, спросив предполагаемого сотрудника, смогут ли они получить доступ к серверу Windows их компании. Исследователи ответили утвердительно, побудив киберпреступников отправить ссылки на сайты передачи файлов, WeTransfer и Mega.
Исследователи загрузили отправленный им файл «Walletconnect (1) .exe» и подтвердили, что это действительно программа-вымогатель, вариант DemonWare. Чтобы внести ясность: мы не советуем никому загружать что-либо подозрительное, отправленное вам незнакомцем.
Все еще представляя себя сотрудником, исследователи сообщили злоумышленнику, что их компания имеет годовой доход в размере 50 миллионов долларов. Затем злоумышленник снизил сумму выкупа с 2,5 до 120 000 долларов.
Злоумышленник неоднократно пытался убедить предполагаемого сотрудника в том, что программа-вымогатель зашифрует все в системе, не оставляя следов, показывая, что он либо безрассуден, либо просто не слишком знаком с цифровой криминалистикой.
Киберпреступник также утверждал, что он запрограммировал вымогатель, используя язык программирования Python, что было ложью: весь код DemonWare находится в свободном доступе в Интернете.
DemonWare не так опасна, как, например, программа- вымогатель Ryuk , но тот факт, что практически любой может легко найти код в Интернете и попытаться развернуть вредоносное ПО, предполагает, что к этой угрозе следует отнестись серьезно.
Как киберпреступник получил контактную информацию?
Так как же злоумышленник получил информацию о цели?
Злоумышленник, по его собственному признанию, отправлял высшему руководству компании фишинговые электронные письма, пытаясь скомпрометировать их учетные записи.
Когда это не удалось, он получил контактную информацию сотрудников из LinkedIn, а затем разослал электронные письма с предложением доли прибыли за развертывание программ-вымогателей.
Кто такой киберпреступник?
Злоумышленник был достаточно небрежным, чтобы поделиться информацией о себе с исследователями Abnormal Security, включая свое полное имя и местонахождение.
По всей видимости, из Нигерии, он в шутку назвал себя «следующим Марком Цукербергом», заявив, что пытается создать африканскую платформу социальных сетей.
Он также утверждал, что связан с группой вымогателей DemonWare, также известной как Black Kingdom и DEMON.
Ясно, что этот человек не совсем криминальный вдохновитель, но его попытка превратить сотрудников в инсайдерские угрозы была заметной и предполагает, что это может быть новой тенденцией.
Защита от атак
Легко понять, как более компетентный киберпреступник может нанести серьезный ущерб организации, проникнув во внутренние системы социальной инженерии.
Крайне важно, чтобы работодатели рассказывали рабочим о хакерах, но иногда этого недостаточно. Помимо инвестиций в безопасность, работодатели, обеспокоенные внутренними угрозами, должны рассмотреть возможность использования программного обеспечения для мониторинга сотрудников.
Пока оно неинвазивно и безопасно, программное обеспечение для мониторинга может быть отличным способом обеспечить компании дополнительный уровень защиты от кибератак, особенно сегодня, когда миллионы людей по всему миру работают из дома.