Как и многое в теневом мире киберпреступности, угроза со стороны инсайдера — явление, с которым сталкиваются немногие.
Ещё меньше людей готовы говорить об этом открыто.
Недавно я сам получил уникальный и тревожный опыт того, как хакеры могут использовать инсайдеров: мне сделали предложение стать их сообщником.
Я не знал, кто это, но сразу понял суть предложения.
Мне предлагали долю от потенциально крупной суммы денег за помощь киберпреступникам в получении доступа к системам BBC через мой ноутбук.
Хакеры планировали украсть данные или установить вредоносное ПО, затем потребовать выкуп у моего работодателя, а мне тайно досталась бы часть прибыли.
Всего за несколько дней до этого сообщения из Бразилии пришла новость: там арестовали IT-сотрудника, продавшего свои учетные данные хакерам. По версии полиции, это привело к потере 100 миллионов долларов (74 млн фунтов стерлингов) у банка-жертвы.
Посоветовавшись со старшим редактором BBC, я решил продолжить переписку — чтобы понять, как преступники строят сделки с потенциально неблагонадёжными сотрудниками в эпоху, когда кибератаки становятся всё более разрушительными.
Я написал «Синдикату», что, возможно, заинтересован, но хочу узнать, как всё будет происходить.
Хакер объяснил: если я предоставлю свои логин-данные и код безопасности, они взломают BBC и потребуют выкуп в биткойнах.
Мне полагалась бы часть выплаты.
Потом предложение улучшили.
BBC публично не заявляет, будет ли платить выкуп, но Национальное агентство по борьбе с преступностью Великобритании (NCA) рекомендует не платить.
Тем не менее злоумышленники продолжали уговаривать.
Он назвал две реальные компании, которые в этом году подверглись атакам: британскую медицинскую организацию и американскую службу экстренной помощи.
Он говорил, что является единственным англоязычным участником команды.
Любой криминальный партнёр может зарегистрироваться на их платформе и использовать её для атак.
По данным компании CheckPoint, администраторы Medusa, вероятно, находятся в России или в союзных ей государствах.
Группа избегает атак на территории России и стран СНГ, а активность ведёт в основном на русскоязычных даркнет-форумах.
Syn даже прислал ссылку на публичное предупреждение властей США о Medusa.
Согласно официальным данным, за четыре года существования группа атаковала «более 300 жертв».
Он проявлял нетерпение и подталкивал меня к ответу.
Хакер также прислал ссылку на страницу «набор персонала» на закрытом киберпреступном форуме и предложил оформить «депозит» в размере 0,5 биткойна (около 55 000 $) — якобы гарантию выплаты после передачи учётных данных.
Хакер задавал множество вопросов о внутренней сети BBC, присылал фрагменты кода и просил выполнить их на рабочем ноутбуке, чтобы выяснить мой уровень доступа.
Планировал обсудить всё утром, поэтому тянул время.
Syn начал злиться:
Затем началась новая атака: мой телефон заполнили бесконечные всплывающие уведомления двухфакторной аутентификации.
Это известная техника MFA bombing — многократные попытки входа вызывают шквал запросов на подтверждение, и жертва может случайно нажать «Принять».
Именно таким образом в 2022 году был взломан Uber.
Чувство было тревожным: казалось, будто преступники «стучат в дверь» моего дома.
Я не открывал чат, опасаясь случайно подтвердить вход, что дало бы хакерам прямой доступ к моим аккаунтам BBC.
Чтобы исключить риски, мы с командой безопасности временно полностью отключили мой доступ к корпоративным системам — без почты, интранета и любых прав
Они настаивали, что предложение остаётся в силе, но после нескольких дней моего молчания удалили аккаунт в Signal и исчезли.
Вскоре мой доступ к системам BBC был восстановлен с дополнительными мерами защиты.
У меня остался бесценный опыт — и тревожное понимание, как именно преступники пытаются превратить сотрудников в «точку входа».
Организациям необходимо обучать персонал, внедрять надёжные системы MFA и создавать каналы для безопасного сообщения о подозрительных контактах.
Источник
Ещё меньше людей готовы говорить об этом открыто.
Недавно я сам получил уникальный и тревожный опыт того, как хакеры могут использовать инсайдеров: мне сделали предложение стать их сообщником.
Такое сообщение я получил в июле от человека по имени Syndicate («Синдикат») в зашифрованном мессенджере Signal.
Я не знал, кто это, но сразу понял суть предложения.
Мне предлагали долю от потенциально крупной суммы денег за помощь киберпреступникам в получении доступа к системам BBC через мой ноутбук.
Хакеры планировали украсть данные или установить вредоносное ПО, затем потребовать выкуп у моего работодателя, а мне тайно досталась бы часть прибыли.
Первые переговоры
Я слышал истории о подобных попытках.Всего за несколько дней до этого сообщения из Бразилии пришла новость: там арестовали IT-сотрудника, продавшего свои учетные данные хакерам. По версии полиции, это привело к потере 100 миллионов долларов (74 млн фунтов стерлингов) у банка-жертвы.
Посоветовавшись со старшим редактором BBC, я решил продолжить переписку — чтобы понять, как преступники строят сделки с потенциально неблагонадёжными сотрудниками в эпоху, когда кибератаки становятся всё более разрушительными.
Я написал «Синдикату», что, возможно, заинтересован, но хочу узнать, как всё будет происходить.
Хакер объяснил: если я предоставлю свои логин-данные и код безопасности, они взломают BBC и потребуют выкуп в биткойнах.
Мне полагалась бы часть выплаты.
Потом предложение улучшили.
По оценкам Syn (так он сократил свой ник), их команда могла бы требовать выкуп в десятки миллионов.
BBC публично не заявляет, будет ли платить выкуп, но Национальное агентство по борьбе с преступностью Великобритании (NCA) рекомендует не платить.
Тем не менее злоумышленники продолжали уговаривать.
Syn уверял, что за мной «закроют следы», чат будет удалён, и никто не сможет доказать моё участие.
Опыт прошлых атак
Хакер утверждал, что у них уже был успешный опыт «сотрудничества» с инсайдерами.Он назвал две реальные компании, которые в этом году подверглись атакам: британскую медицинскую организацию и американскую службу экстренной помощи.
Syn представился «менеджером по связям» преступной группировки Medusa.
Он говорил, что является единственным англоязычным участником команды.
Кто такие Medusa
Medusa — это оператор программы-вымогателя (ransomware-as-a-service).Любой криминальный партнёр может зарегистрироваться на их платформе и использовать её для атак.
По данным компании CheckPoint, администраторы Medusa, вероятно, находятся в России или в союзных ей государствах.
Группа избегает атак на территории России и стран СНГ, а активность ведёт в основном на русскоязычных даркнет-форумах.
Syn даже прислал ссылку на публичное предупреждение властей США о Medusa.
Согласно официальным данным, за четыре года существования группа атаковала «более 300 жертв».
Проверка «серьёзности»
Чтобы убедить меня, что это не шутка, Syn отправил ссылку на даркнет-сайт Medusa и предложил связаться через Tox — популярный у преступников мессенджер.Он проявлял нетерпение и подталкивал меня к ответу.
Хакер также прислал ссылку на страницу «набор персонала» на закрытом киберпреступном форуме и предложил оформить «депозит» в размере 0,5 биткойна (около 55 000 $) — якобы гарантию выплаты после передачи учётных данных.
По его словам, выбор пал на меня потому, что я «технически подкован» и имею высокий уровень доступа к ИТ-системам BBC (на самом деле это не так). Вероятно, он даже не понимал, что я — журналист по вопросам кибербезопасности, а не сотрудник IT-службы.
Хакер задавал множество вопросов о внутренней сети BBC, присылал фрагменты кода и просил выполнить их на рабочем ноутбуке, чтобы выяснить мой уровень доступа.
Давление и «MFA-бомбардировка»
Мы общались уже три дня, и я решил остановиться и проконсультироваться с командой информационной безопасности BBC.Планировал обсудить всё утром, поэтому тянул время.
Syn начал злиться:
Он поставил крайний срок — полночь понедельника.
Затем началась новая атака: мой телефон заполнили бесконечные всплывающие уведомления двухфакторной аутентификации.
Это известная техника MFA bombing — многократные попытки входа вызывают шквал запросов на подтверждение, и жертва может случайно нажать «Принять».
Именно таким образом в 2022 году был взломан Uber.
Чувство было тревожным: казалось, будто преступники «стучат в дверь» моего дома.
Я не открывал чат, опасаясь случайно подтвердить вход, что дало бы хакерам прямой доступ к моим аккаунтам BBC.
Чтобы исключить риски, мы с командой безопасности временно полностью отключили мой доступ к корпоративным системам — без почты, интранета и любых прав
Неожиданное «извинение»
Позже тем же вечером хакеры прислали удивительно спокойное сообщение:Они настаивали, что предложение остаётся в силе, но после нескольких дней моего молчания удалили аккаунт в Signal и исчезли.
Вскоре мой доступ к системам BBC был восстановлен с дополнительными мерами защиты.
У меня остался бесценный опыт — и тревожное понимание, как именно преступники пытаются превратить сотрудников в «точку входа».
Выводы
Эта история показывает:- Киберпреступники активно вербуют сотрудников компаний, предлагая огромные суммы и гарантируя анонимность.
- Современные банды действуют как настоящие корпорации: у них есть «рекрутеры», «депозитные» схемы и собственные сервисы.
- Давление может быть как психологическим, так и техническим — через атаки на многофакторную аутентификацию.
Организациям необходимо обучать персонал, внедрять надёжные системы MFA и создавать каналы для безопасного сообщения о подозрительных контактах.
Источник
Последнее редактирование:
