Вероятно, вдохновленный бандой вымогателей LockBit, нигерийский злоумышленник попытал счастья с помощью платежной приманки на 1 миллион долларов, чтобы нанять инсайдера, который взорвал полезную нагрузку вымогателя на серверах компании.
Этот план имел неприятные последствия, когда мошенник выбрал не ту цель, раскрывая свою технику, а также отсутствие опыта и навыков разведки.
Предложение на миллион долларов
Множественные сообщения, отправленные в почтовые ящики, защищенные облачной платформой безопасности электронной почты Abnormal Security, привлекли внимание исследователей из-за предложения отправителя для получателя: выплаты в размере 1 миллиона долларов за развертывание программы-вымогателя в сети.
Demonware (также известное как Black Kingdom) - это проект вымогателя с открытым исходным кодом, доступный на GitHub и обычно развертываемый людьми, менее техническими специалистами. Однако актер утверждал, что это их проект на языке Python.
Исследователи отреагировали на приглашение злоумышленника поболтать, представившись сотрудником, который хотел немного заработать, пишет сегодня в блоге Крейн Хассолд, директор по анализу угроз компании Abnormal Security.
Поскольку в представлении больше не было необходимости, злоумышленник доставил полезную нагрузку программы-вымогателя, и разговор продолжался по Telegram, давая представление о мотивации и технических способностях мошенника.
По мере продолжения чата актер продолжал снижать выплату сначала до 250 000 долларов, а затем до 120 000 долларов, что явным признаком того, что они не были знакомы с тем, как ведется игра с программами-вымогателями.
Испытать удачу с программой-вымогателем побудило злоумышленника желание профинансировать свой бизнес, стартап социальной сети под названием Sociogram, где он выступал в качестве генерального директора. Они раскрыли более личные данные, заявив, что владеют стартапом и находятся в Нигерии, и даже поделились своим профилем в LinkedIn.
Эта информация соответствует деталям, которые исследователи обнаружили перед тем, как начать разговор с актером, ища в Интернете данные, связанные с адресом электронной почты в первоначальном сообщении.
Однако более важным для исследователей был метод, использованный для сбора целевых адресов электронной почты. В этом не было ничего сложного: анализировать учетные записи LinkedIn на предмет корпоративных писем, принадлежащих сотрудникам высшего звена.
По словам злоумышленника, они прибегли к программе-вымогателю после безуспешной попытки взломать учетные записи электронной почты с помощью фишинга.
Нигерия наиболее известна в индустрии информационной безопасности как колыбель мошенников, занимающихся компрометацией деловой электронной почты (BEC), поэтому социальная инженерия является распространенной тактикой среди киберпреступников в стране.
Похоже, что нигерийский актер не смог придумать оригинальную приманку и взял страницу из книги LockBit, когда пытался привлечь к работе инсайдера.
В начале месяца BleepingComputer сообщила, что банда вымогателей LockBit объявила, что они ищут корпоративных инсайдеров для помощи в взломе и шифровании сетей.
Группа пообещала миллионы долларов США сотрудникам, которые переключились на их сторону и предоставили учетные данные RDP, VPN или корпоративной электронной почты, которые разрешили доступ к сети.
Перевод - Google
Bleeping Computer
