{"id":13758,"url":"\/distributions\/13758\/click?bit=1&hash=2e8fbaa3bf90573ffccd5ba50e92f317e1b2150766c409b747f9bc25b4cf1eb8","title":"\u041c\u0430\u0440\u043a\u0435\u0442\u043f\u043b\u0435\u0439\u0441 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0443\u0441\u043b\u0443\u0433 ","buttonText":"\u042d\u0442\u043e \u043a\u0430\u043a?","imageUuid":"06dd1ba1-1f1b-50d7-87e0-bba4328182c5","isPaidAndBannersEnabled":false}

Некоторые мошенники перестали сами взламывать компании: им проще поделиться выкупом с сообщником «изнутри» Статьи редакции

Они предлагают запустить вредоносное ПО на корпоративных серверах и обещают за это миллион в биткоинах. С одним из них — «нигерийским Цукербергом» — под прикрытием поговорил разработчик защитных шлюзов Abnormal Security.

В августе 2021 года сервис для защиты деловой почты Abnormal Security заблокировал серию нежелательных email-писем. В них злоумышленник просил сотрудников запустить на корпоративных серверах вредоносное ПО — DemonWare, также известное как Black Kingdom или DEMON:

  • Взамен он предлагал $1 млн в биткоинах или 40% от выкупа, который предположительно оценивал в $2,5 млн.
  • Запустить ПО можно было как из офиса, так и удалённо.
  • А связаться с мошенником — по почте Outlook или через Telegram.

С помощью того же ПО злоумышленники атаковали сервис для совместной работы Microsoft Exchange, о чём компания сообщала ещё в марте 2021-го.

Обычно мошенники отправляют «вымограммы» во вложениях к письмам или устанавливают их сами, получив прямой доступ к сети: через незащищённые соединения VPN и благодаря уязвимостям в корпоративном ПО. Однако теперь они всё чаще используют психологические манипуляции: например, убеждают сотрудника пойти против работодателя, пишет Abnormal Security.

Где мошенник ищет данные, как объясняет задачу и так ли ему важна сумма выкупа

Чтобы узнать, кто стоит за атаками и зачем, Abnormal Security связалась со злоумышленником в Telegram:

  • Представилась действующим сотрудником.
  • Рассказала, что владеет доступом к серверу.
  • Спросила, что нужно сделать.

Мошенник предложил «сотруднику» скачать ПО с файлообменников WeTransfer и Mega.nz: в скаченном файле Walletconnect (1).exe действительно была программа-вымогатель, как выяснила при проверке Abnormal Security.

По словам компании, на точной сумме выкупа мошенник не настаивал. В первом письме он ориентировался на $2,5 млн, однако позже сообщил, что надеется заполучить $250 тысяч. Узнав, что годовой доход «компании» составляет $50 млн, мошенник сократил сумму до до $120 тысяч.

«Сперва вы сказали, что попросите миллион, а теперь — $120 тысяч. Не понимаю», — написал подставной сотрудник. На что злоумышленник ответил: «Хотите, чтобы я потребовал лям? Лям так лям. Я просто думал их пожалеть, LOL»  Abnormal Security

Злоумышленник гарантировал, что вычислить недобросовестного сотрудника будет невозможно: ПО «зашифрует всё — в том числе записи с камер видеонаблюдения». Позже, однако, велел удалить файл с «вымограммой» и очистить корзину. Abnormal Security быстро поняла: мошенник рассчитывал на цифровую неграмотность сотрудника и на наличие у него физического доступа к серверу, а не удалённого.

Abnormal Security поинтересовалась, кто создал ПО. По словам мошенника, он сам «написал код на языке Python». На самом же деле компания нашла готовое ПО в свободном доступе на GitHub.

Злоумышленник рассказал, что создавать ПО на Python, «конечно же, было сложно» Abnormal Security

Авторы ПО с GitHub хотели «показать, как легко создать "вымограмму" и как она работает». Мошеннику в результате оставалось только найти сотрудника, которым можно манипулировать.

По словам компании, готовые программы-вымогатели особенно привлекательны, поскольку не требуют от мошенника глубоких технических знаний.

Контакты сотрудников мошенники обычно ищут через LinkedIn и частные сервисы, которые продают доступ к корпоративным данным. Злоумышленник рассказал, что изначально хотел взломать учётные записи менеджеров сам — с помощью фишинговых писем. А напрямую обратился к ним, лишь когда попытка не удалась.

В переписке мошенник признался: системы защиты корпоративных писем стали надёжнее, а сотрудники — осмотрительнее: теперь они реже попадаются на фишинг Abnormal Security

Цукерберг из Нигерии

Прежде чем связаться со злоумышленником, Abnormal Security попыталась узнать о нём больше по данным из открытых источников. Информация с нигерийской торговой платформы и российской соцсети указывала на то, что мошенник, возможно, нигериец.

Компания нашла возможное объявление от злоумышленника в российской соцсети: в нём указан телефон с нигерийским кодом, а также имя и название компании

Впрочем, злоумышленник рассказал о себе сам, чтобы успокоить сомневающегося «сотрудника»:

  • Сообщил, что живёт в Нигерии.
  • Хочет стать «новым Марком Цукербергом» и создать африканскую соцсеть.
  • А также дал ссылку на профиль в LinkedIn со своим полным именем.
«Как я узнаю, что вы меня не обманете?» — спросил подставной сотрудник. В ответ мошенник рассказал, что разрабатывает соцсеть, показал свой профиль на LinkedIn и признался, что живёт в Нигерии Abnormal Security

Всё это, заключает компания, в очередной раз указывает на региональные тенденции в мошенничестве. Именно западноафриканские хакеры, в основном нигерийцы, на протяжении десятилетий активно используют при работе психологические манипуляции. Особенно в таких сложных задачах, как вымогательство.

0
5 комментариев
Timofey Dyrin

Уважаемые Славин,
Прошу вашего горячее внимание к этому очень важное сообщение. Позвольте мне поэтому к интимной вам о своем намерении связаться с Вами через эту среду. Я адвокат и главный партнер фирмы Джим Марк. Настоящим хотели бы сообщить Вам о внезапной смерти моего покойного клиента (д-р Е. Славин), скончавшегося через авиалайнер аварии, повлекшей за собой Ассоциации футбола Того который произошел на 4-м июня 2007 года.

Перед своей несчастной кончины, он был главным специалистом терапевтического этой футбольной ассоциации. Как иностранный сотрудник этого министерства много пребывание в его пользу, он был весьма богат, как в активах, поскольку он также принимал участие в государственных контрактов до своей несчастной кончины. Разрешение, потому как его личный помощник сообщить Вам о депозита остаток денежных средств от общей суммы в $ 5,950,000.00 USD (Пять миллионов 950 тысяч долларов США), что он откладывается в коммерческом банке, прежде чем этот несчастный случай. Настоящим ходатайствовать за Вашу помощь баллотироваться в качестве делового партнера и ближайших родственников на этот счет.

Обратите внимание, что я нахожусь в идеальной владениях всех необходимых элементов этого банковского счета и все другие соответствующие документации его активы, которые будут идеально успешного выполнения этого завета. По Вашему беспристрастный и быстрый ответ на этот призыв, я буду информировать вас со всеми необходимыми / необходимые детали с режимами исполнения этого завета.

Просьба ответить непосредственно на мой личный адрес электронной почты [email protected]

С уважением,
Джим Марк (Esq.)

Ответить
Развернуть ветку
Алексей Молчанов

Да это ещё ладно. Неоригинально даже. Вот когда я получил примерно такое же письмо, но по почте (по обычной! бумажной, в конверте), вот тогда я реально опупел. Не пожалели даже денег на конверт с маркой.

Ответить
Развернуть ветку
Timofey Dyrin

Это, кстати, оригинал. Из моей гуглопочты, 2011 года. На бумаге не было, врать не стану.

Ответить
Развернуть ветку
Kesha Pazzy

Даже нигерийцы эволюционируют. 
Раньше рассылали письма о том, что ты стал наследником богатого Ыомана Ьйежевэкевича. 

Ответить
Развернуть ветку
Сергей Никитин

Централизованные организации не имеют будущего.

Ответить
Развернуть ветку
Читать все 5 комментариев
null