Некоторые мошенники перестали сами взламывать компании: им проще поделиться выкупом с сообщником «изнутри»
Они предлагают запустить вредоносное ПО на корпоративных серверах и обещают за это миллион в биткоинах. С одним из них — «нигерийским Цукербергом» — под прикрытием поговорил разработчик защитных шлюзов Abnormal Security.
В августе 2021 года сервис для защиты деловой почты Abnormal Security заблокировал серию нежелательных email-писем. В них злоумышленник просил сотрудников запустить на корпоративных серверах вредоносное ПО — DemonWare, также известное как Black Kingdom или DEMON:
- Взамен он предлагал $1 млн в биткоинах или 40% от выкупа, который предположительно оценивал в $2,5 млн.
- Запустить ПО можно было как из офиса, так и удалённо.
- А связаться с мошенником — по почте Outlook или через Telegram.
С помощью того же ПО злоумышленники атаковали сервис для совместной работы Microsoft Exchange, о чём компания сообщала ещё в марте 2021-го.
Обычно мошенники отправляют «вымограммы» во вложениях к письмам или устанавливают их сами, получив прямой доступ к сети: через незащищённые соединения VPN и благодаря уязвимостям в корпоративном ПО. Однако теперь они всё чаще используют психологические манипуляции: например, убеждают сотрудника пойти против работодателя, пишет Abnormal Security.
Где мошенник ищет данные, как объясняет задачу и так ли ему важна сумма выкупа
Чтобы узнать, кто стоит за атаками и зачем, Abnormal Security связалась со злоумышленником в Telegram:
- Представилась действующим сотрудником.
- Рассказала, что владеет доступом к серверу.
- Спросила, что нужно сделать.
Мошенник предложил «сотруднику» скачать ПО с файлообменников WeTransfer и Mega.nz: в скаченном файле Walletconnect (1).exe действительно была программа-вымогатель, как выяснила при проверке Abnormal Security.
По словам компании, на точной сумме выкупа мошенник не настаивал. В первом письме он ориентировался на $2,5 млн, однако позже сообщил, что надеется заполучить $250 тысяч. Узнав, что годовой доход «компании» составляет $50 млн, мошенник сократил сумму до до $120 тысяч.
Злоумышленник гарантировал, что вычислить недобросовестного сотрудника будет невозможно: ПО «зашифрует всё — в том числе записи с камер видеонаблюдения». Позже, однако, велел удалить файл с «вымограммой» и очистить корзину. Abnormal Security быстро поняла: мошенник рассчитывал на цифровую неграмотность сотрудника и на наличие у него физического доступа к серверу, а не удалённого.
Abnormal Security поинтересовалась, кто создал ПО. По словам мошенника, он сам «написал код на языке Python». На самом же деле компания нашла готовое ПО в свободном доступе на GitHub.
Авторы ПО с GitHub хотели «показать, как легко создать "вымограмму" и как она работает». Мошеннику в результате оставалось только найти сотрудника, которым можно манипулировать.
По словам компании, готовые программы-вымогатели особенно привлекательны, поскольку не требуют от мошенника глубоких технических знаний.
Контакты сотрудников мошенники обычно ищут через LinkedIn и частные сервисы, которые продают доступ к корпоративным данным. Злоумышленник рассказал, что изначально хотел взломать учётные записи менеджеров сам — с помощью фишинговых писем. А напрямую обратился к ним, лишь когда попытка не удалась.
Цукерберг из Нигерии
Прежде чем связаться со злоумышленником, Abnormal Security попыталась узнать о нём больше по данным из открытых источников. Информация с нигерийской торговой платформы и российской соцсети указывала на то, что мошенник, возможно, нигериец.
Впрочем, злоумышленник рассказал о себе сам, чтобы успокоить сомневающегося «сотрудника»:
- Сообщил, что живёт в Нигерии.
- Хочет стать «новым Марком Цукербергом» и создать африканскую соцсеть.
- А также дал ссылку на профиль в LinkedIn со своим полным именем.
Всё это, заключает компания, в очередной раз указывает на региональные тенденции в мошенничестве. Именно западноафриканские хакеры, в основном нигерийцы, на протяжении десятилетий активно используют при работе психологические манипуляции. Особенно в таких сложных задачах, как вымогательство.
Уважаемые Славин,
Прошу вашего горячее внимание к этому очень важное сообщение. Позвольте мне поэтому к интимной вам о своем намерении связаться с Вами через эту среду. Я адвокат и главный партнер фирмы Джим Марк. Настоящим хотели бы сообщить Вам о внезапной смерти моего покойного клиента (д-р Е. Славин), скончавшегося через авиалайнер аварии, повлекшей за собой Ассоциации футбола Того который произошел на 4-м июня 2007 года.
Перед своей несчастной кончины, он был главным специалистом терапевтического этой футбольной ассоциации. Как иностранный сотрудник этого министерства много пребывание в его пользу, он был весьма богат, как в активах, поскольку он также принимал участие в государственных контрактов до своей несчастной кончины. Разрешение, потому как его личный помощник сообщить Вам о депозита остаток денежных средств от общей суммы в $ 5,950,000.00 USD (Пять миллионов 950 тысяч долларов США), что он откладывается в коммерческом банке, прежде чем этот несчастный случай. Настоящим ходатайствовать за Вашу помощь баллотироваться в качестве делового партнера и ближайших родственников на этот счет.
Обратите внимание, что я нахожусь в идеальной владениях всех необходимых элементов этого банковского счета и все другие соответствующие документации его активы, которые будут идеально успешного выполнения этого завета. По Вашему беспристрастный и быстрый ответ на этот призыв, я буду информировать вас со всеми необходимыми / необходимые детали с режимами исполнения этого завета.
Просьба ответить непосредственно на мой личный адрес электронной почты jimmark2@in.com
С уважением,
Джим Марк (Esq.)
Да это ещё ладно. Неоригинально даже. Вот когда я получил примерно такое же письмо, но по почте (по обычной! бумажной, в конверте), вот тогда я реально опупел. Не пожалели даже денег на конверт с маркой.
Даже нигерийцы эволюционируют.
Раньше рассылали письма о том, что ты стал наследником богатого Ыомана Ьйежевэкевича.
Централизованные организации не имеют будущего.