Hackers subornam funcionários para implantar ransomware nos computadores da empresa
O termo ransomware é usado para descrever qualquer tipo de malware (software malicioso) que criptografa ou bloqueia dados em um dispositivo e exige um pagamento de resgate para descriptografá-lo.
Os ataques de ransomware evoluíram ao longo dos anos, com os cibercriminosos usando técnicas cada vez mais sofisticadas para visar organizações e indivíduos.
Neste verão, pesquisadores de segurança cibernética identificaram um hacker tentando subornar funcionários para implantar ransomware nos computadores de suas empresas.
Subornando funcionários: o que aconteceu?
Em agosto, a Abnormal Security notou que os funcionários receberam e-mails solicitando que se tornassem cúmplices de um ataque de ransomware. O ator da ameaça enviou um e-mail aos funcionários dizendo que eles receberiam 40% do resgate de US $ 2,5 milhões para implantar o ransomware nos computadores de sua empresa, física ou remotamente, e deixou informações de contato.
Os cibercriminosos geralmente implantam ransomware por meio de anexos de e-mail ou por meio de configurações de Rede Privada Virtual (VPN). Naturalmente, os pesquisadores da Abnormal Security estavam curiosos sobre os métodos desse ator de ameaça em particular, então eles decidiram se passar por um funcionário disposto a participar do esquema e entrar em contato com os golpistas.
O ator da ameaça responde
O ator da ameaça respondeu rapidamente, em menos de uma hora, perguntando ao suposto funcionário se ele conseguiria acessar o servidor Windows da empresa. Os pesquisadores responderam afirmativamente, levando o cibercriminoso a enviar links para sites de transferência de arquivos, WeTransfer e Mega.
Os pesquisadores baixaram o arquivo que ele enviou, "Walletconnect (1) .exe", e confirmaram que era realmente um ransomware, a variante DemonWare. Só para ficar claro: não aconselhamos ninguém a baixar nada suspeito enviado a você por um estranho.
Ainda se passando por funcionários, os pesquisadores disseram ao ator da ameaça que sua empresa tinha uma receita anual de US $ 50 milhões. O ator da ameaça então reduziu o valor do resgate de $ 2,5 milhões para $ 120.000.
O ator da ameaça tentou várias vezes convencer o suposto funcionário de que o ransomware criptografaria tudo no sistema sem deixar rastros, mostrando que ele é imprudente ou simplesmente não está muito familiarizado com a perícia digital.
O cibercriminoso também alegou que programou o ransomware usando a linguagem de programação python, o que era uma mentira: todo o código do DemonWare está disponível gratuitamente online.
DemonWare não é tão perigoso quanto, por exemplo, Ryuk ransomware , mas o fato de que praticamente qualquer pessoa pode encontrar facilmente o código online e tentar implantar o malware sugere que é uma ameaça que deve ser levada a sério.
Como o cibercriminoso obteve informações de contato?
Então, como o ator da ameaça conseguiu obter as informações do alvo?
O ator da ameaça, como ele próprio admite, enviou e- mails de phishing para executivos de alto escalão da empresa na tentativa de comprometer suas contas.
Quando isso falhou, ele obteve informações de contato dos funcionários do LinkedIn e, em seguida, enviou e-mails oferecendo uma parte dos lucros pela implantação de ransomware.
Quem é o cibercriminoso?
O ator da ameaça foi descuidado o suficiente para compartilhar informações sobre si mesmo com os pesquisadores da Abnormal Security, incluindo seu nome completo e localização.
Aparentemente baseado na Nigéria, ele se descreveu brincando como "o próximo Mark Zuckerberg", revelando que está tentando construir uma plataforma de rede social africana.
Ele também afirmou ter ligações com o grupo de ransomware DemonWare, também conhecido como Black Kingdom e DEMON.
Obviamente, essa pessoa não é exatamente um gênio do crime, mas sua tentativa de transformar funcionários em ameaças internas foi notável e sugere que essa pode ser uma tendência emergente.
Proteção contra ataques
É fácil ver como um cibercriminoso mais competente pode causar grandes danos a uma organização por meio da engenharia social ao entrar nos sistemas internos.
É imperativo que os empregadores informem os funcionários sobre os hackers, mas às vezes isso não é suficiente. Além de investir em segurança, os empregadores preocupados com ameaças internas devem considerar um software de monitoramento de funcionários.
Contanto que seja não invasivo e seguro, o software de monitoramento pode ser uma ótima maneira de garantir que uma empresa tenha uma camada adicional de proteção contra ataques cibernéticos, especialmente hoje, quando milhões de pessoas em todo o mundo trabalham em casa.
