{"id":7297,"title":"\u0417\u0430\u043a\u0430\u0442\u0438\u043b\u0438 \u0432\u0435\u0447\u0435\u0440\u0438\u043d\u043a\u0443 vc.ru. \u0420\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u0438 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c, \u043a\u0430\u043a \u044d\u0442\u043e \u0431\u044b\u043b\u043e","url":"\/redirect?component=advertising&id=7297&url=https:\/\/vc.ru\/promo\/300923-proveli-vecherinku-vc-ru-i-sdelali-ofis-uyutney-s-pomoshchyu-novogo-servisa-ot-ozon&placeBit=1&hash=1786c9dcf11a3b054c8e53004e27074664313ed4055e24064ede059ebc186db8","isPaidAndBannersEnabled":false}
Сервисы
Полина Лааксо

Некоторые мошенники перестали сами взламывать компании: им проще поделиться выкупом с сообщником «изнутри» Статьи редакции

Они предлагают запустить вредоносное ПО на корпоративных серверах и обещают за это миллион в биткоинах. С одним из них — «нигерийским Цукербергом» — под прикрытием поговорил разработчик защитных шлюзов Abnormal Security.

В августе 2021 года сервис для защиты деловой почты Abnormal Security заблокировал серию нежелательных email-писем. В них злоумышленник просил сотрудников запустить на корпоративных серверах вредоносное ПО — DemonWare, также известное как Black Kingdom или DEMON:

  • Взамен он предлагал $1 млн в биткоинах или 40% от выкупа, который предположительно оценивал в $2,5 млн.
  • Запустить ПО можно было как из офиса, так и удалённо.
  • А связаться с мошенником — по почте Outlook или через Telegram.

С помощью того же ПО злоумышленники атаковали сервис для совместной работы Microsoft Exchange, о чём компания сообщала ещё в марте 2021-го.

Обычно мошенники отправляют «вымограммы» во вложениях к письмам или устанавливают их сами, получив прямой доступ к сети: через незащищённые соединения VPN и благодаря уязвимостям в корпоративном ПО. Однако теперь они всё чаще используют психологические манипуляции: например, убеждают сотрудника пойти против работодателя, пишет Abnormal Security.

Где мошенник ищет данные, как объясняет задачу и так ли ему важна сумма выкупа

Чтобы узнать, кто стоит за атаками и зачем, Abnormal Security связалась со злоумышленником в Telegram:

  • Представилась действующим сотрудником.
  • Рассказала, что владеет доступом к серверу.
  • Спросила, что нужно сделать.

Мошенник предложил «сотруднику» скачать ПО с файлообменников WeTransfer и Mega.nz: в скаченном файле Walletconnect (1).exe действительно была программа-вымогатель, как выяснила при проверке Abnormal Security.

По словам компании, на точной сумме выкупа мошенник не настаивал. В первом письме он ориентировался на $2,5 млн, однако позже сообщил, что надеется заполучить $250 тысяч. Узнав, что годовой доход «компании» составляет $50 млн, мошенник сократил сумму до до $120 тысяч.

«Сперва вы сказали, что попросите миллион, а теперь — $120 тысяч. Не понимаю», — написал подставной сотрудник. На что злоумышленник ответил: «Хотите, чтобы я потребовал лям? Лям так лям. Я просто думал их пожалеть, LOL»  Abnormal Security

Злоумышленник гарантировал, что вычислить недобросовестного сотрудника будет невозможно: ПО «зашифрует всё — в том числе записи с камер видеонаблюдения». Позже, однако, велел удалить файл с «вымограммой» и очистить корзину. Abnormal Security быстро поняла: мошенник рассчитывал на цифровую неграмотность сотрудника и на наличие у него физического доступа к серверу, а не удалённого.

Abnormal Security поинтересовалась, кто создал ПО. По словам мошенника, он сам «написал код на языке Python». На самом же деле компания нашла готовое ПО в свободном доступе на GitHub.

Злоумышленник рассказал, что создавать ПО на Python, «конечно же, было сложно» Abnormal Security

Авторы ПО с GitHub хотели «показать, как легко создать "вымограмму" и как она работает». Мошеннику в результате оставалось только найти сотрудника, которым можно манипулировать.

По словам компании, готовые программы-вымогатели особенно привлекательны, поскольку не требуют от мошенника глубоких технических знаний.

Контакты сотрудников мошенники обычно ищут через LinkedIn и частные сервисы, которые продают доступ к корпоративным данным. Злоумышленник рассказал, что изначально хотел взломать учётные записи менеджеров сам — с помощью фишинговых писем. А напрямую обратился к ним, лишь когда попытка не удалась.

В переписке мошенник признался: системы защиты корпоративных писем стали надёжнее, а сотрудники — осмотрительнее: теперь они реже попадаются на фишинг Abnormal Security

Цукерберг из Нигерии

Прежде чем связаться со злоумышленником, Abnormal Security попыталась узнать о нём больше по данным из открытых источников. Информация с нигерийской торговой платформы и российской соцсети указывала на то, что мошенник, возможно, нигериец.

Компания нашла возможное объявление от злоумышленника в российской соцсети: в нём указан телефон с нигерийским кодом, а также имя и название компании

Впрочем, злоумышленник рассказал о себе сам, чтобы успокоить сомневающегося «сотрудника»:

  • Сообщил, что живёт в Нигерии.
  • Хочет стать «новым Марком Цукербергом» и создать африканскую соцсеть.
  • А также дал ссылку на профиль в LinkedIn со своим полным именем.
«Как я узнаю, что вы меня не обманете?» — спросил подставной сотрудник. В ответ мошенник рассказал, что разрабатывает соцсеть, показал свой профиль на LinkedIn и признался, что живёт в Нигерии Abnormal Security

Всё это, заключает компания, в очередной раз указывает на региональные тенденции в мошенничестве. Именно западноафриканские хакеры, в основном нигерийцы, на протяжении десятилетий активно используют при работе психологические манипуляции. Особенно в таких сложных задачах, как вымогательство.

{ "author_name": "Полина Лааксо", "author_type": "editor", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u043d\u0438\u0433\u0435\u0440\u0438\u044f","\u0432\u044b\u043c\u043e\u0433\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e"], "comments": 5, "likes": 10, "favorites": 11, "is_advertisement": false, "subsite_label": "services", "id": 290322, "is_wide": true, "is_ugc": false, "date": "Mon, 06 Sep 2021 14:16:00 +0300", "is_special": false }
0
5 комментариев
Популярные
По порядку

Уважаемые Славин,
Прошу вашего горячее внимание к этому очень важное сообщение. Позвольте мне поэтому к интимной вам о своем намерении связаться с Вами через эту среду. Я адвокат и главный партнер фирмы Джим Марк. Настоящим хотели бы сообщить Вам о внезапной смерти моего покойного клиента (д-р Е. Славин), скончавшегося через авиалайнер аварии, повлекшей за собой Ассоциации футбола Того который произошел на 4-м июня 2007 года.

Перед своей несчастной кончины, он был главным специалистом терапевтического этой футбольной ассоциации. Как иностранный сотрудник этого министерства много пребывание в его пользу, он был весьма богат, как в активах, поскольку он также принимал участие в государственных контрактов до своей несчастной кончины. Разрешение, потому как его личный помощник сообщить Вам о депозита остаток денежных средств от общей суммы в $ 5,950,000.00 USD (Пять миллионов 950 тысяч долларов США), что он откладывается в коммерческом банке, прежде чем этот несчастный случай. Настоящим ходатайствовать за Вашу помощь баллотироваться в качестве делового партнера и ближайших родственников на этот счет.

Обратите внимание, что я нахожусь в идеальной владениях всех необходимых элементов этого банковского счета и все другие соответствующие документации его активы, которые будут идеально успешного выполнения этого завета. По Вашему беспристрастный и быстрый ответ на этот призыв, я буду информировать вас со всеми необходимыми / необходимые детали с режимами исполнения этого завета.

Просьба ответить непосредственно на мой личный адрес электронной почты jimmark2@in.com

С уважением,
Джим Марк (Esq.)

7

Да это ещё ладно. Неоригинально даже. Вот когда я получил примерно такое же письмо, но по почте (по обычной! бумажной, в конверте), вот тогда я реально опупел. Не пожалели даже денег на конверт с маркой.

1

Это, кстати, оригинал. Из моей гуглопочты, 2011 года. На бумаге не было, врать не стану.

0

Даже нигерийцы эволюционируют. 
Раньше рассылали письма о том, что ты стал наследником богатого Ыомана Ьйежевэкевича. 

0

Централизованные организации не имеют будущего.

–1
Читать все 5 комментариев
Любителям автоматизации пост

Привет! Это мой первый пост на этой платформе. Я не совсем ещё знаком с местными правилами, но решил попробовать написать пост об одном из своих Telegram ботов и поделиться им.

Как не попасть в карьерную ловушку тимлида: личный опыт

Кажется, что тимлиду просто некуда расти: дальше надо либо идти в менеджмент, либо наоборот, становиться узконаправленным разработчиком. По просьбе «Лаборатории Касперского» Евгений Мацюк, который прошел в компании неординарный путь, рассказал о своих карьерных развилках во время и после тимлидства, а также поделился опытом горизонтального роста.

Исследование: сотрудники хотели бы иметь комнату отдыха, бесплатный сок, а работодатели уже готовы покупать ЗОЖ-снеки

Онлайн-сервис доставки продуктов и товаров СберМаркет и исследовательское агентство Research Me спросили сотрудников, как они хотели бы питаться в офисе и что в нем видеть. В опросе приняли участие более 1500 работающих людей по всей России. Сервис также спросил работодателей – В2В-клиентов СберМаркета: что они покупают в офис, что точно никогда…

ПСБ запустил личный кабинет для предпринимателей. Там можно следить онлайн за каждым своим терминалом

Сервис предоставляется бесплатно.

М.Видео обманул меня с предзаказом Apple Watch Series 7

Печали пост. Как только 8 октября открылся предзаказ на Apple Watch Series 7, поспешил на сайты apple.com, М.Видео и еще несколько маркетплейсов.

Как Озон спустя неделю обещаний о доставке товара молча отменил мой заказ

Добрый день, мой первый пост о той ситуации, с которой наверное столкнулись многие.

Правительство утвердило правила идентификации пользователей мессенджеров с марта 2022 года Статьи редакции

Сервисы должны будут запрашивать данные у операторов, а те — предоставлять их в течение 20 минут после регистрации пользователя.

Я устал жить на автомате и сделал бота в Telegram, который напоминает сколько мне осталось жить

Теперь бот присылает каждую неделю новую таблицу жизни, где видно сколько мне осталось до 90 лет. Красный квадрат – 1 прожитая неделя.

Пример календаря жизни. @life_table_bot
В Петербурге объявили локдаун с 30 октября по 7 ноября: работать будут продуктовые магазины и аптеки Статьи редакции

Кафе и рестораны смогут работать навынос и на доставку, будут открыты парикмахерские, театры и музеи.

Как OTUS стал платформой для самореализации. История преподавателя

Наш преподаватель, специалист по Data Science, решил поделиться своей историей преподавания. Он рассказал, как пришел в эту сферу, с какими трудностями столкнулся на пути к преподаванию и что ему помогает. А еще поделился советами, как поддерживать внимание студентов и сделать занятия полезными и увлекательными.

null