Некоторые мошенники перестали сами взламывать компании: им проще поделиться выкупом с сообщником «изнутри» Статьи редакции

Они предлагают запустить вредоносное ПО на корпоративных серверах и обещают за это миллион в биткоинах. С одним из них — «нигерийским Цукербергом» — под прикрытием поговорил разработчик защитных шлюзов Abnormal Security.

В августе 2021 года сервис для защиты деловой почты Abnormal Security заблокировал серию нежелательных email-писем. В них злоумышленник просил сотрудников запустить на корпоративных серверах вредоносное ПО — DemonWare, также известное как Black Kingdom или DEMON:

• Взамен он предлагал $1 млн в биткоинах или 40% от выкупа, который предположительно оценивал в $2,5 млн.
• Запустить ПО можно было как из офиса, так и удалённо.
  
• А связаться с мошенником — по почте Outlook или через Telegram.

Обычно мошенники отправляют «вымограммы» во вложениях к письмам или устанавливают их сами, получив прямой доступ к сети: через незащищённые соединения VPN и благодаря уязвимостям в корпоративном ПО. Однако теперь они всё чаще используют психологические манипуляции: например, убеждают сотрудника пойти против работодателя, пишет Abnormal Security.

Чтобы узнать, кто стоит за атаками и зачем, Abnormal Security связалась со злоумышленником в Telegram:

• Представилась действующим сотрудником.
• Рассказала, что владеет доступом к серверу.
• Спросила, что нужно сделать.

Мошенник предложил «сотруднику» скачать ПО с файлообменников WeTransfer и Mega.nz: в скаченном файле Walletconnect (1).exe действительно была программа-вымогатель, как выяснила при проверке Abnormal Security.

По словам компании, на точной сумме выкупа мошенник не настаивал. В первом письме он ориентировался на $2,5 млн, однако позже сообщил, что надеется заполучить $250 тысяч. Узнав, что годовой доход «компании» составляет $50 млн, мошенник сократил сумму до до $120 тысяч.

Злоумышленник гарантировал, что вычислить недобросовестного сотрудника будет невозможно: ПО «зашифрует всё — в том числе записи с камер видеонаблюдения». Позже, однако, велел удалить файл с «вымограммой» и очистить корзину. Abnormal Security быстро поняла: мошенник рассчитывал на цифровую неграмотность сотрудника и на наличие у него физического доступа к серверу, а не удалённого.

Abnormal Security поинтересовалась, кто создал ПО. По словам мошенника, он сам «написал код на языке Python». На самом же деле компания нашла готовое ПО в свободном доступе на GitHub.

Авторы ПО с GitHub хотели «показать, как легко создать "вымограмму" и как она работает». Мошеннику в результате оставалось только найти сотрудника, которым можно манипулировать.

Контакты сотрудников мошенники обычно ищут через LinkedIn и частные сервисы, которые продают доступ к корпоративным данным. Злоумышленник рассказал, что изначально хотел взломать учётные записи менеджеров сам — с помощью фишинговых писем. А напрямую обратился к ним, лишь когда попытка не удалась.

Прежде чем связаться со злоумышленником, Abnormal Security попыталась узнать о нём больше по данным из открытых источников. Информация с нигерийской торговой платформы и российской соцсети указывала на то, что мошенник, возможно, нигериец.

Впрочем, злоумышленник рассказал о себе сам, чтобы успокоить сомневающегося «сотрудника»:

• Сообщил, что живёт в Нигерии.
• Хочет стать «новым Марком Цукербергом» и создать африканскую соцсеть.
  
• А также дал ссылку на профиль в LinkedIn со своим полным именем.

Всё это, заключает компания, в очередной раз указывает на региональные тенденции в мошенничестве. Именно западноафриканские хакеры, в основном нигерийцы, на протяжении десятилетий активно используют при работе психологические манипуляции. Особенно в таких сложных задачах, как вымогательство.

#хакеры #вымогательство #нигерия