Útočník kontaktoval zamestnancov, aby nainštalovali ransomware

25. augusta 2021 | Peter Daniška
| Nekomentované
ransomware

Firma Abnormal Security informovala, že od 12. augusta obdržala od svojich zákazníkov viacero podozrivých emailových správ, ktoré prišli ich zamestnancom. Tieto správy obsahovali „návrh“ od kybernetického útočníka, ktorý im ponúkol 40% z prípadného zisku z ransomware útoku. Úlohou zamestnanca malo byť infikovanie firemného počítača alebo servera ransomwarom. Email obsahoval aj útočníkov kontakt na komunikačnú službu Telegram.

Bezpečnostní experti z Abnormal Security následne kontaktovali kybernetického útočníka pod fiktívnym profilom a súhlasili so spoluprácou, aby ďalej analyzovali priebeh ransomware útoku. Kybernetický útočník vystupoval pod prezývkou „Pablo“ a ponúkal odmenu 1 milión dolárov za infikovanie firemného servera ransomwarom. Následne sa snažil získať ďalšie informácie o firme a priamo poslal odkazy na stiahnutie inštalačného súboru, ktorý obsahoval ransomware.
 


Nato sa bezpečnostní analytici snažili zistiť ako sa podarilo útočníkovi získať kontaktnú emailovú adresu zamestnanca. „Pablo“ na to odpovedal, že ju získal na sociálnej sieti LinkedIn, kde automatizovane zbieral emailové adresy vedúcich pracovníkov firiem. Problém s dátami na LinkedIn sú už známe, naposledy sa podarilo hackerom vyfiltrovať a nazbierať údaje až o 500 miliónoch užívateľov sociálnej siete LinkedIn. Žiaľ, na sociálnej sieti LinkedIn je veľa profilov verejných – tým pádom sú vo veľkej miere osobné údaje zamestnancov, mimo iné práve aj emailová adresa a telefónne číslo, dostupné každému.

Podľa aktuálnych informácií sa jednalo o kybernetického útočníka pochádzajúceho z Nigérie – člena ransomware skupiny vystupujúcej pod názvom DemonWare. Ransomware, ktorý mal byť použitý na zašifrovanie dát, pochádza z voľne dostupného zdroja na internete. Nemenovaný bezpečnostný expert ho vytvoril ako ukážku, aké ľahké je vytvoriť si vlastný funkčný ransomware, a zdrojové kódy verejne sprístupnil na internete. Presne tieto kódy zneužil kybernetický útočník vystupujúci pod prezývkou „Pablo“.
 


Z tohto prípadu jasne vyplýva, aké jednoduché je dostať sa k ransomwaru aj osobám a kriminálnikom, ktorí nemajú dostatok technických zručností. Rovnako nie je zanedbateľný ani vektor útoku, kedy malvér úmyselne nainštaluje zamestnanec. Tieto dôvody sú jasným signálom, aby boli v každej firme správne nastavené bezpečnostné pravidlá a interné zabezpečenie IT infraštruktúry.


 

 
Bezpečnostné odporúčania, Internetové podvody a bezpečnostné incidenty, Škodlivý kód a bezpečnostné diery