Мошенник ищет помощников, готовых зашифровать свой сервер за долю выкупа.
Чаще всего шифровальщики-вымогатели попадают в корпоративную сеть из почты, через уязвимости в ПО и незащищенные удаленные соединения. Вариант с намеренной активацией вредоноса инсайдером маловероятен. Но, как показывает практика, некоторые злоумышленники считают такой метод доставки шифровальщика вполне рабочим.
Инновационная схема доставки
Звучит достаточно нелепо, но некие люди ищут соучастников через спам-рассылки. В письме прямым текстом предлагают «40% миллиона долларов в биткойнах» тем, кто установит и запустит шифровальщик Demonware на основном windows-сервере своей компании.
Исследователи Abnormal Security притворились заказчиками и получили ссылку на архив с инструкцией по запуску вредоноса. Видимо, автор был достаточно неопытным киберпреступником, поскольку исследователи без труда разговорили его и узнали детали схемы. Он представился юношей из Нигерии, пытающимся собрать средства для запуска бизнеса. Адреса для рассылки он добыл в LinkedIn, с особым фокусом на топ-менеджмент. Сперва он собирался использовать традиционную рассылку вредоноса в письме, но передумал из-за высокой эффективности защитных решений.
В чем подвох
Одним из ключевых аргументов злоумышленника было утверждение, что шифровальщик уничтожит все следы, включая возможные записи с камер. Кроме того, он советовал удалить исполняемый файл, чтобы не оставлять зацепок. Можно предположить, что он планирует обмануть собеседника, ведь после того, как сервер будет зашифрован, организатору перестанет быть интересно, что случится с исполнителем. Но, по всей видимости, он действительно не понимает, как проходит цифровое расследование.
О его неопытности также говорит то, что он использует Demonware. Хотя этот шифровальщик применяется злоумышленниками в реальных атаках, это несложный вредонос, исходники которого доступны на GitHub. Сделан он якобы для демонстрации того, как легко написать шифровальщик.
Как оставаться в безопасности
Хотя эта история может показаться вам анекдотом, участие инсайдеров в атаке шифровальщика бывает быть вполне реальным. Запускать вредонос в сети никто не будет, зато сценарий продажи доступа к информационным системам компании вполне реален.
Рынок доступа в корпоративную сеть существует в даркнете достаточно давно, и вымогатели частенько покупают его у так называемых брокеров первоначального доступа (Initial Access Brokers). У них может быть интерес к покупке данных для удаленного доступа к сети или облачным серверам компании. Объявления о таких покупках, рассчитанные на недовольных или уволенных сотрудников, действительно можно встретить в даркнете.
Чтобы компания не стала жертвой атаки шифровальщика через слитый доступ, мы рекомендуем:
- Придерживаться стратегии минимальных привилегий;
- Вести строгий учет доступов к сети и серверам компании, отзывая права и меняя пароли при увольнении сотрудников;
- Использовать решения класса Managed Detection and Response, которые позволят выявить подозрительную активность в вашей сети до того, как злоумышленники успеют нанести реальный ущерб.
Обезопасьте свою компанию и читайте оригинал статьи в нашем блоге.