{"id":7016,"title":"\u0423\u0433\u0430\u0434\u0430\u0439\u0442\u0435 \u0433\u043e\u0440\u043e\u0434\u0430 \u043f\u043e \u0437\u0432\u0443\u043a\u0443 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0435\u0433\u043e\u0441\u044f \u043f\u0438\u0432\u0430 \u0438 \u043f\u0435\u043d\u0438\u044e \u043a\u0438\u0442\u043e\u0432","url":"\/redirect?component=advertising&id=7016&url=https:\/\/vc.ru\/special\/sound&placeBit=1&hash=6ca24c77fedb0a01bd41595a6fbd498b5375a294c2e3b54a129aa318671b77a3","isPaidAndBannersEnabled":false}
Сервисы
Полина Лааксо

Некоторые мошенники перестали сами взламывать компании: им проще поделиться выкупом с сообщником «изнутри» Статьи редакции

Они предлагают запустить вредоносное ПО на корпоративных серверах и обещают за это миллион в биткоинах. С одним из них — «нигерийским Цукербергом» — под прикрытием поговорил разработчик защитных шлюзов Abnormal Security.

В августе 2021 года сервис для защиты деловой почты Abnormal Security заблокировал серию нежелательных email-писем. В них злоумышленник просил сотрудников запустить на корпоративных серверах вредоносное ПО — DemonWare, также известное как Black Kingdom или DEMON:

  • Взамен он предлагал $1 млн в биткоинах или 40% от выкупа, который предположительно оценивал в $2,5 млн.
  • Запустить ПО можно было как из офиса, так и удалённо.
  • А связаться с мошенником — по почте Outlook или через Telegram.

С помощью того же ПО злоумышленники атаковали сервис для совместной работы Microsoft Exchange, о чём компания сообщала ещё в марте 2021-го.

Обычно мошенники отправляют «вымограммы» во вложениях к письмам или устанавливают их сами, получив прямой доступ к сети: через незащищённые соединения VPN и благодаря уязвимостям в корпоративном ПО. Однако теперь они всё чаще используют психологические манипуляции: например, убеждают сотрудника пойти против работодателя, пишет Abnormal Security.

Где мошенник ищет данные, как объясняет задачу и так ли ему важна сумма выкупа

Чтобы узнать, кто стоит за атаками и зачем, Abnormal Security связалась со злоумышленником в Telegram:

  • Представилась действующим сотрудником.
  • Рассказала, что владеет доступом к серверу.
  • Спросила, что нужно сделать.

Мошенник предложил «сотруднику» скачать ПО с файлообменников WeTransfer и Mega.nz: в скаченном файле Walletconnect (1).exe действительно была программа-вымогатель, как выяснила при проверке Abnormal Security.

По словам компании, на точной сумме выкупа мошенник не настаивал. В первом письме он ориентировался на $2,5 млн, однако позже сообщил, что надеется заполучить $250 тысяч. Узнав, что годовой доход «компании» составляет $50 млн, мошенник сократил сумму до до $120 тысяч.

«Сперва вы сказали, что попросите миллион, а теперь — $120 тысяч. Не понимаю», — написал подставной сотрудник. На что злоумышленник ответил: «Хотите, чтобы я потребовал лям? Лям так лям. Я просто думал их пожалеть, LOL»  Abnormal Security

Злоумышленник гарантировал, что вычислить недобросовестного сотрудника будет невозможно: ПО «зашифрует всё — в том числе записи с камер видеонаблюдения». Позже, однако, велел удалить файл с «вымограммой» и очистить корзину. Abnormal Security быстро поняла: мошенник рассчитывал на цифровую неграмотность сотрудника и на наличие у него физического доступа к серверу, а не удалённого.

Abnormal Security поинтересовалась, кто создал ПО. По словам мошенника, он сам «написал код на языке Python». На самом же деле компания нашла готовое ПО в свободном доступе на GitHub.

Злоумышленник рассказал, что создавать ПО на Python, «конечно же, было сложно» Abnormal Security

Авторы ПО с GitHub хотели «показать, как легко создать "вымограмму" и как она работает». Мошеннику в результате оставалось только найти сотрудника, которым можно манипулировать.

По словам компании, готовые программы-вымогатели особенно привлекательны, поскольку не требуют от мошенника глубоких технических знаний.

Контакты сотрудников мошенники обычно ищут через LinkedIn и частные сервисы, которые продают доступ к корпоративным данным. Злоумышленник рассказал, что изначально хотел взломать учётные записи менеджеров сам — с помощью фишинговых писем. А напрямую обратился к ним, лишь когда попытка не удалась.

В переписке мошенник признался: системы защиты корпоративных писем стали надёжнее, а сотрудники — осмотрительнее: теперь они реже попадаются на фишинг Abnormal Security

Цукерберг из Нигерии

Прежде чем связаться со злоумышленником, Abnormal Security попыталась узнать о нём больше по данным из открытых источников. Информация с нигерийской торговой платформы и российской соцсети указывала на то, что мошенник, возможно, нигериец.

Компания нашла возможное объявление от злоумышленника в российской соцсети: в нём указан телефон с нигерийским кодом, а также имя и название компании

Впрочем, злоумышленник рассказал о себе сам, чтобы успокоить сомневающегося «сотрудника»:

  • Сообщил, что живёт в Нигерии.
  • Хочет стать «новым Марком Цукербергом» и создать африканскую соцсеть.
  • А также дал ссылку на профиль в LinkedIn со своим полным именем.
«Как я узнаю, что вы меня не обманете?» — спросил подставной сотрудник. В ответ мошенник рассказал, что разрабатывает соцсеть, показал свой профиль на LinkedIn и признался, что живёт в Нигерии Abnormal Security

Всё это, заключает компания, в очередной раз указывает на региональные тенденции в мошенничестве. Именно западноафриканские хакеры, в основном нигерийцы, на протяжении десятилетий активно используют при работе психологические манипуляции. Особенно в таких сложных задачах, как вымогательство.

{ "author_name": "Полина Лааксо", "author_type": "editor", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u043d\u0438\u0433\u0435\u0440\u0438\u044f","\u0432\u044b\u043c\u043e\u0433\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e"], "comments": 5, "likes": 10, "favorites": 11, "is_advertisement": false, "subsite_label": "services", "id": 290322, "is_wide": true, "is_ugc": false, "date": "Mon, 06 Sep 2021 14:16:00 +0300", "is_special": false }
0
5 комментариев
Популярные
По порядку

Уважаемые Славин,
Прошу вашего горячее внимание к этому очень важное сообщение. Позвольте мне поэтому к интимной вам о своем намерении связаться с Вами через эту среду. Я адвокат и главный партнер фирмы Джим Марк. Настоящим хотели бы сообщить Вам о внезапной смерти моего покойного клиента (д-р Е. Славин), скончавшегося через авиалайнер аварии, повлекшей за собой Ассоциации футбола Того который произошел на 4-м июня 2007 года.

Перед своей несчастной кончины, он был главным специалистом терапевтического этой футбольной ассоциации. Как иностранный сотрудник этого министерства много пребывание в его пользу, он был весьма богат, как в активах, поскольку он также принимал участие в государственных контрактов до своей несчастной кончины. Разрешение, потому как его личный помощник сообщить Вам о депозита остаток денежных средств от общей суммы в $ 5,950,000.00 USD (Пять миллионов 950 тысяч долларов США), что он откладывается в коммерческом банке, прежде чем этот несчастный случай. Настоящим ходатайствовать за Вашу помощь баллотироваться в качестве делового партнера и ближайших родственников на этот счет.

Обратите внимание, что я нахожусь в идеальной владениях всех необходимых элементов этого банковского счета и все другие соответствующие документации его активы, которые будут идеально успешного выполнения этого завета. По Вашему беспристрастный и быстрый ответ на этот призыв, я буду информировать вас со всеми необходимыми / необходимые детали с режимами исполнения этого завета.

Просьба ответить непосредственно на мой личный адрес электронной почты jimmark2@in.com

С уважением,
Джим Марк (Esq.)

7

Да это ещё ладно. Неоригинально даже. Вот когда я получил примерно такое же письмо, но по почте (по обычной! бумажной, в конверте), вот тогда я реально опупел. Не пожалели даже денег на конверт с маркой.

1

Это, кстати, оригинал. Из моей гуглопочты, 2011 года. На бумаге не было, врать не стану.

0

Даже нигерийцы эволюционируют. 
Раньше рассылали письма о том, что ты стал наследником богатого Ыомана Ьйежевэкевича. 

0

Централизованные организации не имеют будущего.

–1
Читать все 5 комментариев
М.Видео обманул меня с предзаказом Apple Watch Series 7

Печали пост. Как только 8 октября открылся предзаказ на Apple Watch Series 7, поспешил на сайты apple.com, М.Видео и еще несколько маркетплейсов.

ПСБ запустил личный кабинет для предпринимателей. Там можно следить онлайн за каждым своим терминалом

Сервис предоставляется бесплатно.

Исследование: сотрудники хотели бы иметь комнату отдыха, бесплатный сок, а работодатели уже готовы покупать ЗОЖ-снеки

Онлайн-сервис доставки продуктов и товаров СберМаркет и исследовательское агентство Research Me спросили сотрудников, как они хотели бы питаться в офисе и что в нем видеть. В опросе приняли участие более 1500 работающих людей по всей России. Сервис также спросил работодателей – В2В-клиентов СберМаркета: что они покупают в офис, что точно никогда…

Cloud CDN: что это такое, как устроено и кому нужно. Разбираем на примере бургеров

Cloud CDN — это сеть быстрой доставки статического контента в формате услуги облачного провайдера. Объяснить, как работает технология, проще всего на примере — сравнить Cloud CDN с популярным продуктом, который выглядит плюс-минус одинаково вне зависимости от того, заказали вы его в Москве, Питере или Нью-Йорке. Знакомьтесь: классический бургер.…

Я устал жить на автомате и сделал бота в Telegram, который напоминает сколько мне осталось жить

Теперь бот присылает каждую неделю новую таблицу жизни, где видно сколько мне осталось до 90 лет. Красный квадрат – 1 прожитая неделя.

Пример календаря жизни. @life_table_bot
Правительство утвердило правила идентификации пользователей мессенджеров с марта 2022 года Статьи редакции

Сервисы должны будут запрашивать данные у операторов, а те — предоставлять их в течение 20 минут после регистрации пользователя.

Как Озон спустя неделю обещаний о доставке товара молча отменил мой заказ

Добрый день, мой первый пост о той ситуации, с которой наверное столкнулись многие.

Любителям автоматизации пост

Привет! Это мой первый пост на этой платформе. Я не совсем ещё знаком с местными правилами, но всё же решил написать об одном из своих Telegram ботов и поделиться им.

В Петербурге объявили локдаун с 30 октября по 7 ноября: работать будут продуктовые магазины и аптеки Статьи редакции

Кафе и рестораны смогут работать навынос и на доставку, будут открыты парикмахерские, театры и музеи.

Как не попасть в карьерную ловушку тимлида: личный опыт

Кажется, что тимлиду просто некуда расти: дальше надо либо идти в менеджмент, либо наоборот, становиться узконаправленным разработчиком. По просьбе «Лаборатории Касперского» Евгений Мацюк, который прошел в компании неординарный путь, рассказал о своих карьерных развилках во время и после тимлидства, а также поделился опытом горизонтального роста.

null