Dans une récente campagne, les cybercriminels recherchent des complices potentiels prêts à introduire clandestinement des logiciels de rançon dans leur entreprise pour une partie de la rançon. La piste mène en Afrique au célèbre "prince nigérian".
Il y a peu de gens qui n'ont jamais trouvé dans leur dossier spam un message d'un prince nigérian qui a un besoin urgent d'économiser une énorme somme d'argent et a besoin d'aide pour le faire. Alternativement, il peut aussi s'agir d'un chef de tribu ou d'un entrepreneur. Cette arnaque existe depuis des décennies et ne devrait susciter qu'un sourire las de la plupart des destinataires.
Du spam au rançongiciel
Cela pourrait aussi être la raison pour laquelle les expéditeurs recherchent désormais un nouveau domaine d'activité. Selon un récent rapport de chercheurs en sécurité chez Abnormal Security, ils semblent avoir trouvé cela avec un ransomware. Ce n'est pas surprenant en soi, après tout, les rançongiciels attirent de gros profits et peuvent être loués pour peu d'argent sur le Darknet. Cependant, les actions des criminels dans cette affaire sont plutôt inhabituelles et il est peu probable qu'elles aient été conçues par un cerveau criminel, c'est un euphémisme.
Les employés sont censés introduire clandestinement des ransomwares
Au lieu d'utiliser une ingénierie sociale sophistiquée pour inciter les employés à ouvrir un fichier, qui à son tour installe le ransomware, les attaquants écrivent aux victimes potentielles via LinkedIn ou d'autres moyens de contact publics et leur demandent poliment s'ils seraient intéressés à télécharger le ransomware DemonWare pour être installés sur les systèmes de leur employeur. En échange, un pourcentage de la rançon est promis. Dans le cas décrit par Abnormal Security, les criminels ont offert 40 million de dollars, soit 2,5 % des XNUMX millions de dollars qu'ils visaient. Si vous êtes intéressé, vous devez nous contacter par e-mail ou par télégramme.
récompense pour complicité
C'est exactement ce que les chercheurs en sécurité ont fait et ont rapidement découvert qu'ils n'avaient pas nécessairement affaire à des professionnels des ransomwares. Ainsi, la rançon attendue a été rapidement réduite à 120.000 XNUMX dollars, et avec elle la somme que le complice potentiel était censé recevoir. Il a également été affirmé qu'il n'y avait aucun risque pour le complice d'être pris car le rançongiciel chiffrerait toutes les traces, y compris les caméras de surveillance. Les chercheurs en sécurité ont continué à jouer le jeu et ont finalement reçu une version fonctionnelle du rançongiciel DemonWare, prétendument développé par les attaquants eux-mêmes. Cependant, cette affirmation est évidemment fausse, car DemonWare est facilement disponible en téléchargement sur le portail GitHub.
Des chercheurs en sécurité se joignent à l'infiltration et reçoivent un rançongiciel
Maintenant, bien sûr, les chercheurs en sécurité ont voulu savoir qui était derrière cette arnaque quelque peu amateur et ont retrouvé les coordonnées fournies. Celles-ci ont finalement conduit à un site Web de trading négociant la devise nigériane naira et une plate-forme de médias sociaux russe. Forts de ces informations, les chercheurs en sécurité ont demandé à l'agresseur s'il venait du Nigéria, ce qu'il a ouvertement admis. Selon Abnormal Security, cela explique également le fonctionnement des cybercriminels. Ils appliqueraient désormais les tactiques de base qu'ils utilisent depuis des années dans leurs campagnes de spam aux ransomwares pour participer au boom de ce malware, même si les chances de succès de cette campagne sont plutôt modérées.
Les dilettantes augmentent également le risque
Néanmoins, cette approche devrait également faire réfléchir les entreprises, car il arrive encore et encore que les gangs de ransomwares soient aidés par des initiés. Un autre exemple est celui des distributeurs de rançongiciels LockBit, qui sont toujours à la recherche de complices pour accéder aux réseaux d'entreprise. La protection contre ces attaques d'initiés, mais aussi contre les attaques de rançongiciels « normales », par exemple, est assurée par des profils d'utilisateurs restreints sans droits d'administrateur pour tous les employés. Des mises à jour de sécurité régulières, un logiciel antivirus à jour et un concept de sauvegarde éprouvé devraient de toute façon être une évidence.
Plus sur 8com.de
À propos de 8com Le 8com Cyber Defense Center protège efficacement les infrastructures numériques des clients de 8com contre les cyberattaques. Il comprend la gestion des informations et des événements de sécurité (SIEM), la gestion des vulnérabilités et des tests de pénétration professionnels. En outre, il propose le développement et l'intégration d'un système de gestion de la sécurité de l'information (ISMS) incluant la certification selon des normes communes. Des mesures de sensibilisation, des formations à la sécurité et la gestion de la réponse aux incidents complètent l'offre.