En una campaña reciente, los ciberdelincuentes buscan cómplices potenciales dispuestos a contrabandear ransomware en su empresa a cambio de parte del rescate. El rastro lleva a África al notorio "príncipe nigeriano".
Hay pocas personas que nunca hayan encontrado un mensaje en su carpeta de correo no deseado de un príncipe nigeriano que necesita ayuda urgente para asegurar una enorme suma de dinero. Alternativamente, también puede ser un jefe tribal o un empresario. Esta estafa ha existido durante décadas y solo debería provocar una sonrisa cansada en la mayoría de los destinatarios.
Del spam al ransomware
Esa también podría ser la razón por la cual los remitentes ahora están buscando un nuevo campo de actividad. Según un informe reciente de los investigadores de seguridad de Abnormal Security, parecen haber encontrado esto con ransomware. Esto no es sorprendente en sí mismo, después de todo, el ransomware atrae con grandes ganancias y se puede alquilar por poco dinero en Darknet. Sin embargo, las acciones de los criminales en este caso son bastante inusuales y es poco probable que hayan sido concebidas por un cerebro criminal, por decirlo suavemente.
Se supone que los empleados contrabandean ransomware
En lugar de usar ingeniería social sofisticada para engañar a los empleados para que abran un archivo, que a su vez instala el ransomware, los atacantes escriben a las víctimas potenciales a través de LinkedIn u otros medios públicos de contacto y les preguntan cortésmente si estarían interesados en descargar el ransomware DemonWare para ser instalado en los sistemas de su empleador. A cambio, se promete un porcentaje del rescate. En el caso descrito por Abnormal Security, los delincuentes ofrecieron $40 millón, el 2,5 por ciento de los $XNUMX millones que buscaban. Si está interesado, debe contactarnos por correo electrónico o telegrama.
premio a la complicidad
Eso es exactamente lo que hicieron los investigadores de seguridad y descubrieron rápidamente que no estaban necesariamente tratando con profesionales del ransomware. Entonces, el rescate esperado se redujo rápidamente a $ 120.000, y con él la suma que se suponía que recibiría el cómplice potencial. También se afirmó que no había riesgo de que el cómplice fuera atrapado porque el ransomware encriptaría todos los rastros, incluidas las cámaras de vigilancia. Los investigadores de seguridad continuaron jugando y finalmente recibieron una versión funcional del ransomware DemonWare, supuestamente desarrollado por los propios atacantes. Sin embargo, esta afirmación es obviamente falsa, ya que DemonWare se puede descargar fácilmente en el portal de GitHub.
Investigadores de seguridad se unen encubiertos y obtienen ransomware
Ahora, por supuesto, los investigadores de seguridad querían averiguar quién estaba detrás de esta estafa un tanto amateur y rastrearon los datos de contacto proporcionados. Estos finalmente llevaron a un sitio web comercial que comercializaba la moneda nigeriana naira y una plataforma de redes sociales rusa. Con esta información, los investigadores de seguridad le preguntaron al atacante si era de Nigeria, lo cual admitió abiertamente. Según Abnormal Security, esto también explica cómo operan los ciberdelincuentes. Ahora transferirían las tácticas básicas que han estado usando en sus campañas de spam durante años al ransomware para participar en el auge de este malware, incluso si las posibilidades de éxito de esta campaña son bastante moderadas.
Los diletantes también aumentan aún más el riesgo
Sin embargo, este enfoque también debería hacer pensar a las empresas, porque sucede una y otra vez que las pandillas de ransomware cuentan con la ayuda de personas internas. Otro ejemplo son los distribuidores de ransomware LockBit, que siempre buscan cómplices para acceder a las redes corporativas. La protección contra tales ataques internos, pero también contra los ataques de ransomware "normales", por ejemplo, la proporcionan perfiles de usuario restringidos sin derechos de administrador para todos los empleados. Las actualizaciones de seguridad periódicas, el software antivirus actualizado y un concepto de copia de seguridad probado y probado deberían ser algo natural de todos modos.
Más en 8com.de
Acerca de 8com El Centro de Ciberdefensa de 8com protege eficazmente las infraestructuras digitales de los clientes de 8com contra los ataques cibernéticos. Incluye gestión de eventos e información de seguridad (SIEM), gestión de vulnerabilidades y pruebas de penetración profesionales. Además, ofrece el desarrollo e integración de un Sistema de Gestión de Seguridad de la Información (SGSI) incluyendo la certificación según estándares comunes. Medidas de sensibilización, formación en seguridad y gestión de respuesta a incidentes completan la oferta.