In una recente campagna, i criminali informatici stanno cercando potenziali complici disposti a contrabbandare ransomware nella loro azienda per una parte del riscatto. Il sentiero conduce in Africa dal famigerato "principe nigeriano".
Sono poche le persone che non hanno mai trovato nella loro cartella spam un messaggio di un principe nigeriano che ha urgentemente bisogno di risparmiare una grossa somma di denaro e ha bisogno di aiuto per farlo. In alternativa, può anche essere un capo tribù o un imprenditore. Questa truffa esiste da decenni e dovrebbe solo suscitare un sorriso stanco dalla maggior parte delle persone a cui si rivolge.
Dallo spam al ransomware
Questo potrebbe anche essere il motivo per cui i mittenti sono ora alla ricerca di un nuovo campo di attività. Secondo un recente rapporto dei ricercatori di sicurezza di Abnormal Security, sembra che abbiano trovato questo con il ransomware. Questo non è sorprendente in sé e per sé, dopo tutto il ransomware attira con grandi profitti e può essere affittato per pochi soldi su Darknet. Tuttavia, le azioni dei criminali in questo caso sono piuttosto insolite ed è improbabile che siano state concepite da una mente criminale, per usare un eufemismo.
I dipendenti dovrebbero contrabbandare ransomware
Invece di utilizzare una sofisticata ingegneria sociale per indurre i dipendenti ad aprire un file, che a sua volta installa il ransomware, gli aggressori scrivono alle potenziali vittime tramite LinkedIn o altri mezzi di contatto pubblici e chiedono gentilmente se sarebbero interessati a scaricare il ransomware DemonWare per essere installati sui sistemi del loro datore di lavoro. In cambio viene promessa una percentuale del riscatto. Nel caso descritto da Abnormal Security, i criminali hanno offerto 40 milione di dollari, il 2,5% dei XNUMX milioni di dollari a cui miravano. Se siete interessati, contattateci via e-mail o telegramma.
ricompensa per la complicità
Questo è esattamente ciò che hanno fatto i ricercatori di sicurezza e hanno rapidamente scoperto che non avevano necessariamente a che fare con professionisti del ransomware. Così il riscatto previsto è stato rapidamente ridotto a 120.000 dollari, e con esso la somma che il potenziale complice avrebbe dovuto ricevere. È stato inoltre affermato che non vi era alcun rischio per il complice di essere catturato perché il ransomware avrebbe crittografato tutte le tracce, comprese le telecamere di sorveglianza. I ricercatori di sicurezza hanno continuato a stare al gioco e alla fine hanno ricevuto una versione funzionante del ransomware DemonWare, presumibilmente sviluppato dagli stessi aggressori. Tuttavia, questa affermazione è ovviamente falsa, in quanto DemonWare è facilmente disponibile per il download sul portale GitHub.
I ricercatori di sicurezza si uniscono sotto copertura e ottengono ransomware
Ora, ovviamente, i ricercatori di sicurezza volevano scoprire chi c'era dietro questa truffa un po' amatoriale e hanno rintracciato i dettagli di contatto forniti. Questi alla fine hanno portato a un sito web di trading che scambiava la valuta naira nigeriana e una piattaforma di social media russa. Con queste informazioni, i ricercatori della sicurezza hanno chiesto all'aggressore se provenisse dalla Nigeria, cosa che ha ammesso apertamente. Secondo Abnormal Security, questo spiega anche come operano i criminali informatici. Ora trasferirebbero le tattiche di base che usano da anni nelle loro campagne di spam al ransomware per partecipare al boom di questo malware, anche se le possibilità di successo di questa campagna sono piuttosto moderate.
Anche i dilettanti aumentano ulteriormente il rischio
Tuttavia, questo approccio dovrebbe far riflettere anche le aziende, perché capita spesso che le bande di ransomware ricevano l'aiuto di addetti ai lavori. Un altro esempio sono i distributori di ransomware LockBit, che sono sempre alla ricerca di complici per ottenere l'accesso alle reti aziendali. La protezione contro tali attacchi interni, ma anche contro i "normali" attacchi ransomware, ad esempio, è fornita da profili utente limitati senza diritti di amministratore per tutti i dipendenti. Aggiornamenti di sicurezza regolari, software antivirus aggiornato e un concetto di backup collaudato dovrebbero comunque essere una cosa ovvia.
Altro su 8com.de
Informazioni su 8com Il Cyber Defence Center di 8com protegge efficacemente le infrastrutture digitali dei clienti di 8com dagli attacchi informatici. Include la gestione delle informazioni sulla sicurezza e degli eventi (SIEM), la gestione delle vulnerabilità e i penetration test professionali. Inoltre, offre lo sviluppo e l'integrazione di un sistema di gestione della sicurezza delle informazioni (ISMS) inclusa la certificazione secondo standard comuni. Misure di sensibilizzazione, formazione sulla sicurezza e gestione della risposta agli incidenti completano l'offerta.