استفاده گروه های جرایم سایبری از افراد درون سازمانی برای استقرار باج افزار
اخبار داغ فناوری اطلاعات و امنیت شبکهیک گروه تهدید سایبری از کشور نیجریه از طریق استخدام کارکنان سازمان ها و با پرداخت یک میلیون دلار بیت کوین برای استقرار باج افزار Black Kingdom در شبکه های شرکت ها به عنوان بخشی از طرح تهدیدات داخلی، اقدام به جذب نیرو می کند.
شرکت ابنرمال سکیوریتی در گزارشی که پنجشنبه منتشر شد، گفتند: "ارسال کننده پیام به کارمند سازمان مورد نظر می گوید که اگر بتوانند باج افزار را در رایانه مرکزی یا سرور ویندوز شرکت مستقر کنند، مبلغ 1 میلیون دلار بیت کوین یا 40 درصد از 2.5 میلیون دلار باج احتمالی دریافتی از شرکت هدف، به آنها پرداخت می شود. به کارمند مورد نظر گفته می شود که می تواند باج افزار را به صورت فیزیکی یا از راه دور راه اندازی کند. فرستنده دو روش برای تماس با او در صورت تمایل کارمند به وی ارائه خواهد داد: یک حساب ایمیل Outlook و یک نام کاربری تلگرام".
به نقل از هکر نیوز، بدافزار Black Kingdom، که با نام DemonWare و DEMON نیز شناخته می شود، در اوایل ماه مارس هنگامی که عاملان تهدید از نقص ProxyLogon که بر سرورهای Microsoft Exchange تأثیر می گذاشتند، مورد استفاده قرار میگرفتند، توجه کاربران را به خود جلب نمودند.
شرکت ابنرمال سکیوریتی، که ایمیل های فیشینگ را در 12 آگوست شناسایی و مسدود کرد، با ایجاد یک شخصیت ساختگی به درخواست مهاجمان پاسخ داد و در پیام رسان تلگرام با عاملین این تهدیدات ارتباط برقرار نمود. درنهایت اما مهاجم به طور ناخواسته شیوه عملیات، که شامل دو لینک میشد و برای payload باج افزار اجرایی که کارمند شرکت هدف می توانست از WeTransfer یا Mega.nz دانلود کند را پخش کرد.
کرین هسولد، مدیر تهدید اطلاعات شرکت ابنرمال سکیوریتی گفت: "مهاجم همچنین به ما دستور داد که فایل .EXE را پاک کرده و آن را از سطل زباله ویندوز حذف کنیم. بر اساس پاسخ های مهاجم، به نظر می رسد که او اول از همه انتظار دارد که یک کارمند دسترسی فیزیکی به سرور داشته باشد و دوم اینکه او با آنالیز و تشریح دیجیتال یا تحقیقات واکنش به حادثه آشنایی کاملی ندارد".
علاوه بر اتخاذ یک رویکرد انعطاف پذیر در مورد باج آنها، تصور می شود که این طرح توسط مدیر اجرایی یک استارتاپ شبکه اجتماعی مستقر در لاگوس به نام Sociogram، با هدف استفاده از سرمایه جمع آوری شده برای "ایجاد شرکت خودش" تهیه شده است. در یکی از مکالمات صورت گرفته در طول پنج روز، فرد حتی خود را "مارک زاکربرگ بعدی" خطاب کرد.
همچنین روش استفاده از LinkedIn برای جمع آوری آدرس های ایمیل مدیران ارشد سطح بالا، بار دیگر نشان می دهد که چگونه حملات خطرآفرین ایمیل های تجاری (BEC) که از کشور نیجریه نشات می گیرند، همچنان در حال تکامل بوده و مشاغل را در معرض حملات پیچیده ای مانند حملات باج افزاری قرار می دهند.
تیم ارلین، معاون مدیریت محصول و استراتژی در Tripwire، گفت: "همیشه خط بسیار باریکی بین حملات سایبری و حملات مهندسی اجتماعی وجود داشته است و این شکل حمله، نمونه ای از نحوه ارتباط این دو نوع با یکدیگر است. همانطور که افراد در تشخیص و اجتناب از حملات فیشینگ به مرور پیشرفت می کنند، نباید تعجب آور باشد که ببینیم مهاجمان تاکتیک های جدیدی را برای دستیابی به اهداف خود اتخاذ می کنند".
تیم ارلین افزود: "ایده استفاده از یک هدف خودی ناراضی در یک سازمان به عنوان تهدید امنیت سایبری چیز جدیدی نیست. تا زمانی که سازمان ها به کارکنان نیاز داشته باشند، همیشه ریسک عضو داخلی وجود خواهد داشت. وعده دریافت سهمیه باج ممکن است جذاب به نظر برسد، اما تقریباً هیچ تضمینی برای این سهمیه وجود ندارد؛ این نوع مشارکت شاید پاداشی دی پی داشته باشد، اما به احتمال زیاد کسی که این پیشنهاد مهاجم را قبول کند، گرفتار عواقب جبران ناپذیری خواهد شد".
برچسب ها: ProxyLogon, Sociogram, DEMON, Black kingdom, WeTransfer, Demonbot, Server, Ransom, LinkedIn, Outlook, cybersecurity, Social Engineering, مهندسی اجتماعی, بیتکوین , phishing, malware, ransomware , Telegram, باج افزار, بدافزار, امنیت سایبری, تلگرام, Cyber Attacks, Bitcoin, حمله سایبری