Em uma campanha recente, os cibercriminosos estão procurando cúmplices em potencial dispostos a contrabandear ransomware para sua empresa em troca de parte do resgate. A trilha leva à África ao notório "príncipe nigeriano".
Existem poucas pessoas que nunca encontraram uma mensagem em sua pasta de spam de um príncipe nigeriano que precisa urgentemente de ajuda para garantir uma enorme soma de dinheiro. Alternativamente, também pode ser um chefe tribal ou um empresário. Esse golpe existe há décadas e deve apenas provocar um sorriso cansado da maioria dos destinatários.
Do spam ao ransomware
Essa também pode ser a razão pela qual os remetentes estão agora procurando um novo campo de atividade. De acordo com um relatório recente de pesquisadores de segurança da Abnormal Security, eles parecem ter encontrado isso com o ransomware. Isso não é surpreendente por si só, afinal ransomware atrai com grandes lucros e pode ser alugado por pouco dinheiro na Darknet. No entanto, as ações dos criminosos neste caso são bastante incomuns e é improvável que tenham sido concebidas por um gênio do crime, para dizer o mínimo.
Os funcionários devem contrabandear ransomware
Em vez de usar engenharia social sofisticada para induzir os funcionários a abrir um arquivo, que por sua vez instala o ransomware, os invasores escrevem para as vítimas em potencial via LinkedIn ou outro meio público de contato e perguntam educadamente se eles estariam interessados em baixar o ransomware DemonWare para ser instalados nos sistemas de seus empregadores. Em troca, uma porcentagem do resgate é prometida. No caso descrito pela Abnormal Security, os criminosos ofereceram US$ 40 milhão, 2,5% dos US$ XNUMX milhões que visavam. Se você estiver interessado, entre em contato conosco por e-mail ou telegrama.
recompensa pela cumplicidade
Isso é exatamente o que os pesquisadores de segurança fizeram e rapidamente descobriram que não estavam necessariamente lidando com profissionais de ransomware. Assim, o resgate esperado foi rapidamente reduzido para $ 120.000, e com ele a quantia que o potencial cúmplice deveria receber. Também foi alegado que não havia risco de o cúmplice ser pego porque o ransomware criptografaria todos os rastros, incluindo câmeras de vigilância. Os pesquisadores de segurança continuaram a jogar junto e finalmente receberam uma versão funcional do ransomware DemonWare, supostamente desenvolvido pelos próprios invasores. No entanto, essa afirmação é obviamente falsa, pois o DemonWare está facilmente disponível para download no portal GitHub.
Pesquisadores de segurança se infiltram e obtêm ransomware
Agora, é claro, os pesquisadores de segurança queriam descobrir quem estava por trás desse golpe um tanto amador e rastrearam os detalhes de contato fornecidos. Isso acabou levando a um site comercial negociando a moeda nigeriana naira e uma plataforma de mídia social russa. Com essa informação, os pesquisadores de segurança perguntaram ao atacante se ele era da Nigéria, o que ele admitiu abertamente. De acordo com a Abnormal Security, isso também explica como os cibercriminosos operam. Eles agora transfeririam as táticas básicas que vêm usando em suas campanhas de spam há anos para o ransomware para participar do boom desse malware, mesmo que as chances de sucesso dessa campanha sejam bastante moderadas.
Diletantes também aumentam ainda mais o risco
No entanto, essa abordagem também deve fazer as empresas pensarem, porque acontece repetidamente que as gangues de ransomware recebem ajuda de pessoas de dentro. Outro exemplo são os distribuidores do ransomware LockBit, que estão sempre em busca de cúmplices para obter acesso às redes corporativas. A proteção contra esses ataques internos, mas também contra ataques “normais” de ransomware, por exemplo, é fornecida por perfis de usuário restritos sem direitos administrativos para todos os funcionários. Atualizações de segurança regulares, software antivírus atualizado e um conceito de backup testado e comprovado devem ser uma questão de rotina de qualquer maneira.
Mais em 8com.de
Sobre 8com O 8com Cyber Defense Center protege efetivamente as infraestruturas digitais dos clientes da 8com contra ataques cibernéticos. Inclui informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de vulnerabilidades e testes de penetração profissionais. Além disso, oferece o desenvolvimento e integração de um Sistema de Gestão de Segurança da Informação (ISMS) incluindo certificação de acordo com padrões comuns. Medidas de conscientização, treinamento de segurança e gerenciamento de resposta a incidentes completam a oferta.