Empleados descontentos para implementar ransomware – Krebs on Safety


Los hackers criminales intentarán casi cualquier cosa para ingresar a una empresa rentable y asegurarse un día de pago de un millón de dólares de una infección de ransomware. Aparentemente, ahora eso incluye enviar correos electrónicos a los empleados directamente y pedirles que desaten el malware dentro de la purple de su empleador a cambio de un porcentaje de cualquier monto de rescate pagado por la empresa víctima.

Imagen: Seguridad anormal.

Grúa Hassold, director de inteligencia de amenazas en Seguridad anormal, descrito lo que sucedió después de que adoptó una personalidad falsa y respondió a la propuesta en la captura de pantalla anterior. Le ofreció pagarle el 40 por ciento de una demanda de rescate de un millón de dólares si aceptaba lanzar su malware dentro de la crimson de su empleador.

Este estafador en unique hablaba bastante y, en el transcurso de cinco días, se supo que el corresponsal de Hassold se vio obligado a cambiar su enfoque inicial al planificar el despliegue del Cepa de ransomware DemonWare, que está disponible gratuitamente en GitHub.

“Según este actor, originalmente tenía la intención de enviar a sus objetivos, todos los ejecutivos de alto nivel, correos electrónicos de phishing para comprometer sus cuentas, pero después de que eso no tuvo éxito, cambió a este pretexto de ransomware”, escribió Hassold.

Irregular Security documentó cómo relacionó el correo electrónico con un joven en Nigeria que reconoció que estaba tratando de ahorrar dinero para ayudar a financiar una nueva red social que está construyendo llamada Sociograma.

Imagen: Seguridad anormal.

Se llegó a través de LinkedIn, fundador de Sociogram Oluwaseun Medayedupin pidió que se eliminara el nombre de su empresa emergente de la historia, aunque no respondió a las preguntas sobre si había inexactitudes en el informe de Hassold.

«Por favor, no dañes la reputación de Sociogram», suplicó Medayedupin. «Te lo ruego como un joven prometedor».

El enfoque de este atacante puede parecer bastante amateur, pero sería un mistake descartar la amenaza de los ciberdelincuentes de África Occidental que incursionan en el ransomware. Si bien los pagos multimillonarios de ransomware acaparan los titulares, con mucho las mayores pérdidas financieras vinculadas al ciberdelito cada año provienen de los llamados Enterprise E-mail Compromise (BEC) o estafas de CEO, en los que los delincuentes con sede principalmente en África y el sudeste asiático se burlarán comunicaciones de los ejecutivos de la empresa objetivo en un intento por iniciar transferencias electrónicas internacionales no autorizadas.

De acuerdo a las últimas cifras (PDF) publicado por el Centro de quejas de delitos en World wide web del FBI (IC3), las pérdidas reportadas por estafas de BEC continúan eclipsando otras categorías de pérdidas por delitos cibernéticos, aumentando a $ 1.860 millones en 2020.

Imagen: FBI

«Saber que el actor es nigeriano realmente completa el círculo de la historia y proporciona un contexto notable a las tácticas utilizadas en el correo electrónico inicial que identificamos», escribió Hassold. “Durante décadas, los estafadores de África Occidental, ubicados principalmente en Nigeria, han perfeccionado el uso de la ingeniería social en la actividad del ciberdelito”.

“Si bien el ataque cibernético más común que vemos de los actores nigerianos (y el ataque más dañino a nivel mundial) es el compromiso del correo electrónico comercial (BEC), tiene sentido que un actor nigeriano recurra al uso de técnicas de ingeniería social similares, incluso cuando intenta implementar con éxito un ataque técnicamente más sofisticado como el ransomware ”, concluyó Hassold.

NO DEJE SU TRABAJO DIARIO

Los ciberdelincuentes que buscan empleados descontentos no es una novedad. Las grandes empresas han estado preocupadas durante mucho tiempo por la amenaza true de los empleados descontentos que crean identidades en los sitios de la darknet y luego se ofrecen a destruir la red de su empleador por una tarifa (para obtener más información al respecto, consulte mi historia de 2016, Rise of the Darknet Stokes Concern of the Insider ).

De hecho, tal vez este emprendedor estafador nigeriano se esté manteniendo al día con las tendencias actuales. Varias pandillas establecidas de afiliados de ransomware que recientemente han cambiado de nombre bajo nuevas banderas parecen haber eliminado el modelo de afiliados a favor de simplemente comprar acceso ilícito a redes corporativas.

Por ejemplo, la pandilla de ransomware como servicio Lockbit 2. en realidad incluye una solicitud para personas con información privilegiada en el fondo de escritorio que queda en los sistemas cifrados con el malware.

“¿Le gustaría ganar millones de dólares? Nuestra empresa adquiere acceso a las redes de varias empresas, así como información privilegiada que puede ayudarlo a robar los datos más valiosos de cualquier empresa «, se lee en el anuncio inusual de LockBit. “Puede proporcionarnos datos contables para el acceso a cualquier empresa, por ejemplo, nombre de usuario y contraseña para RDP, VPN, correo electrónico corporativo, and many others. Abra nuestra carta en su correo electrónico. Ejecute el virus proporcionado en cualquier computadora de su empresa. Las empresas nos pagan la ejecución hipotecaria por el descifrado de archivos y la prevención de la fuga de datos «.

Imagen: Sophos.

Asimismo, el recién formado Materia Negra La banda de ransomware inició su presencia en los foros de ciberdelincuencia con el sencillo hilo «Comprar / monetizar su acceso a las redes corporativas». El resto de la publicación dice:

Buscamos acceso a redes corporativas en los siguientes países:
– EE.UU
– canadá
– Australia
– el Reino Unido

Todas las líneas de negocio excepto:
– Cuidado de la salud
– Entidades gubernamentales.

Requerimientos:
– Ingresos según ZoomInfo: más de 100 millones.
– Número de hosts: 500 a 15.000.
– No aceptamos redes en las que alguien más ya haya intentado trabajar.

Dos opciones de cooperación:
– Compramos redes: 3 a 100k.
– Los monetizamos (sujeto a negociación caso por caso).

Cómo trabajamos:
Selecciona una opción de cooperación. -> Proporcionas acceso a la red. -> Lo comprobamos. -> Lo tomamos o no (según cumpla los requisitos).



Enlace a la noticia authentic