Некоторые мошенники перестали сами взламывать компании: им проще поделиться выкупом с сообщником «изнутри»

Они предлагают запустить вредоносное ПО на корпоративных серверах и обещают за это миллион в биткоинах. С одним из них — «нигерийским Цукербергом» — под прикрытием поговорил разработчик защитных шлюзов Abnormal Security.

В августе 2021 года сервис для защиты деловой почты Abnormal Security заблокировал серию нежелательных email-писем. В них злоумышленник просил сотрудников запустить на корпоративных серверах вредоносное ПО — DemonWare, также известное как Black Kingdom или DEMON:

  • Взамен он предлагал $1 млн в биткоинах или 40% от выкупа, который предположительно оценивал в $2,5 млн.
  • Запустить ПО можно было как из офиса, так и удалённо.
  • А связаться с мошенником — по почте Outlook или через Telegram.

С помощью того же ПО злоумышленники атаковали сервис для совместной работы Microsoft Exchange, о чём компания сообщала ещё в марте 2021-го.

Обычно мошенники отправляют «вымограммы» во вложениях к письмам или устанавливают их сами, получив прямой доступ к сети: через незащищённые соединения VPN и благодаря уязвимостям в корпоративном ПО. Однако теперь они всё чаще используют психологические манипуляции: например, убеждают сотрудника пойти против работодателя, пишет Abnormal Security.

Где мошенник ищет данные, как объясняет задачу и так ли ему важна сумма выкупа

Чтобы узнать, кто стоит за атаками и зачем, Abnormal Security связалась со злоумышленником в Telegram:

  • Представилась действующим сотрудником.
  • Рассказала, что владеет доступом к серверу.
  • Спросила, что нужно сделать.

Мошенник предложил «сотруднику» скачать ПО с файлообменников WeTransfer и Mega.nz: в скаченном файле Walletconnect (1).exe действительно была программа-вымогатель, как выяснила при проверке Abnormal Security.

По словам компании, на точной сумме выкупа мошенник не настаивал. В первом письме он ориентировался на $2,5 млн, однако позже сообщил, что надеется заполучить $250 тысяч. Узнав, что годовой доход «компании» составляет $50 млн, мошенник сократил сумму до до $120 тысяч.

«Сперва вы сказали, что попросите миллион, а теперь — $120 тысяч. Не понимаю», — написал подставной сотрудник. На что злоумышленник ответил: «Хотите, чтобы я потребовал лям? Лям так лям. Я просто думал их пожалеть, LOL»  <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fabnormalsecurity.com%2Fblog%2Fnigerian-ransomware-soliciting-employees-demonware%2F&postId=290322" rel="nofollow noreferrer noopener" target="_blank">Abnormal Security</a>
«Сперва вы сказали, что попросите миллион, а теперь — $120 тысяч. Не понимаю», — написал подставной сотрудник. На что злоумышленник ответил: «Хотите, чтобы я потребовал лям? Лям так лям. Я просто думал их пожалеть, LOL»  Abnormal Security

Злоумышленник гарантировал, что вычислить недобросовестного сотрудника будет невозможно: ПО «зашифрует всё — в том числе записи с камер видеонаблюдения». Позже, однако, велел удалить файл с «вымограммой» и очистить корзину. Abnormal Security быстро поняла: мошенник рассчитывал на цифровую неграмотность сотрудника и на наличие у него физического доступа к серверу, а не удалённого.

Abnormal Security поинтересовалась, кто создал ПО. По словам мошенника, он сам «написал код на языке Python». На самом же деле компания нашла готовое ПО в свободном доступе на GitHub.

Злоумышленник рассказал, что создавать ПО на Python, «конечно же, было сложно» <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fabnormalsecurity.com%2Fblog%2Fnigerian-ransomware-soliciting-employees-demonware%2F&postId=290322" rel="nofollow noreferrer noopener" target="_blank">Abnormal Security</a>
Злоумышленник рассказал, что создавать ПО на Python, «конечно же, было сложно» Abnormal Security

Авторы ПО с GitHub хотели «показать, как легко создать "вымограмму" и как она работает». Мошеннику в результате оставалось только найти сотрудника, которым можно манипулировать.

По словам компании, готовые программы-вымогатели особенно привлекательны, поскольку не требуют от мошенника глубоких технических знаний.

Контакты сотрудников мошенники обычно ищут через LinkedIn и частные сервисы, которые продают доступ к корпоративным данным. Злоумышленник рассказал, что изначально хотел взломать учётные записи менеджеров сам — с помощью фишинговых писем. А напрямую обратился к ним, лишь когда попытка не удалась.

В переписке мошенник признался: системы защиты корпоративных писем стали надёжнее, а сотрудники — осмотрительнее: теперь они реже попадаются на фишинг <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fabnormalsecurity.com%2Fblog%2Fnigerian-ransomware-soliciting-employees-demonware%2F&postId=290322" rel="nofollow noreferrer noopener" target="_blank">Abnormal Security</a>
В переписке мошенник признался: системы защиты корпоративных писем стали надёжнее, а сотрудники — осмотрительнее: теперь они реже попадаются на фишинг Abnormal Security

Цукерберг из Нигерии

Прежде чем связаться со злоумышленником, Abnormal Security попыталась узнать о нём больше по данным из открытых источников. Информация с нигерийской торговой платформы и российской соцсети указывала на то, что мошенник, возможно, нигериец.

Компания нашла возможное объявление от злоумышленника в российской соцсети: в нём указан телефон с нигерийским кодом, а также имя и название компании
Компания нашла возможное объявление от злоумышленника в российской соцсети: в нём указан телефон с нигерийским кодом, а также имя и название компании

Впрочем, злоумышленник рассказал о себе сам, чтобы успокоить сомневающегося «сотрудника»:

  • Сообщил, что живёт в Нигерии.
  • Хочет стать «новым Марком Цукербергом» и создать африканскую соцсеть.
  • А также дал ссылку на профиль в LinkedIn со своим полным именем.
«Как я узнаю, что вы меня не обманете?» — спросил подставной сотрудник. В ответ мошенник рассказал, что разрабатывает соцсеть, показал свой профиль на LinkedIn и признался, что живёт в Нигерии <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fabnormalsecurity.com%2Fblog%2Fnigerian-ransomware-soliciting-employees-demonware%2F&postId=290322" rel="nofollow noreferrer noopener" target="_blank">Abnormal Security</a>
«Как я узнаю, что вы меня не обманете?» — спросил подставной сотрудник. В ответ мошенник рассказал, что разрабатывает соцсеть, показал свой профиль на LinkedIn и признался, что живёт в Нигерии Abnormal Security

Всё это, заключает компания, в очередной раз указывает на региональные тенденции в мошенничестве. Именно западноафриканские хакеры, в основном нигерийцы, на протяжении десятилетий активно используют при работе психологические манипуляции. Особенно в таких сложных задачах, как вымогательство.

1010
5 комментариев

Уважаемые Славин,
Прошу вашего горячее внимание к этому очень важное сообщение. Позвольте мне поэтому к интимной вам о своем намерении связаться с Вами через эту среду. Я адвокат и главный партнер фирмы Джим Марк. Настоящим хотели бы сообщить Вам о внезапной смерти моего покойного клиента (д-р Е. Славин), скончавшегося через авиалайнер аварии, повлекшей за собой Ассоциации футбола Того который произошел на 4-м июня 2007 года.

Перед своей несчастной кончины, он был главным специалистом терапевтического этой футбольной ассоциации. Как иностранный сотрудник этого министерства много пребывание в его пользу, он был весьма богат, как в активах, поскольку он также принимал участие в государственных контрактов до своей несчастной кончины. Разрешение, потому как его личный помощник сообщить Вам о депозита остаток денежных средств от общей суммы в $ 5,950,000.00 USD (Пять миллионов 950 тысяч долларов США), что он откладывается в коммерческом банке, прежде чем этот несчастный случай. Настоящим ходатайствовать за Вашу помощь баллотироваться в качестве делового партнера и ближайших родственников на этот счет.

Обратите внимание, что я нахожусь в идеальной владениях всех необходимых элементов этого банковского счета и все другие соответствующие документации его активы, которые будут идеально успешного выполнения этого завета. По Вашему беспристрастный и быстрый ответ на этот призыв, я буду информировать вас со всеми необходимыми / необходимые детали с режимами исполнения этого завета.

Просьба ответить непосредственно на мой личный адрес электронной почты jimmark2@in.com

С уважением,
Джим Марк (Esq.)

7

Да это ещё ладно. Неоригинально даже. Вот когда я получил примерно такое же письмо, но по почте (по обычной! бумажной, в конверте), вот тогда я реально опупел. Не пожалели даже денег на конверт с маркой.

1

Даже нигерийцы эволюционируют. 
Раньше рассылали письма о том, что ты стал наследником богатого Ыомана Ьйежевэкевича. 

Централизованные организации не имеют будущего.