Zazwyczaj opisujemy temat ransomware na poważnie, tak jak na to zasługuje to stale rosnące zagrożenie. Ale dziś pokażemy przypadek, który potwierdza iż tego typu złośliwe oprogramowanie na fali swojej popularności przyciąga także jakby nieco mniej inteligentnych „cyberprzestępców”.
Coraz więcej ludzi chce na tym „zarobić”
Ransomware jest obecnie jednym z największych zagrożeń cyberbezpieczeństwa dla firm, a osoby stojące za jego użyciem mogą potencjalnie zarobić miliony dolarów w Bitcoinach za jeden tylko udany atak. Ta pokusa szybkiego zarabiania dużych sum pieniędzy przyciąga zainteresowanie całego spektrum cyberprzestępców, od wyrafinowanych gangów specjalizujących się w atakach ransomware, po programy partnerskie, w których niedoszli królowie ransomware mogą wynajmować ransomware jako usługę w zamian za część zysków. Przyciąga to również drobnych cyberprzestępców, którzy widzą szansę na zdobycie kawałka tortu z ransomware - nawet jeśli nie mają pojęcia, co robią.
Fucha za milion
Badacze bezpieczeństwa cybernetycznego z Abnormal Security opisali właśnie amatorską kampanię ransomware wykorzystującą socjotechnikę do zainstalowania ransomware DemonWare w zamian za udział w okupie. Oprogramowanie ransomware DemonWare - znane również jako Black Kingdom i DEMON - jest jedną z najmniej wyrafinowanych form ransomware, ale to nie powstrzymuje cyberprzestępców przed próbami jego wykorzystania.
W tym przypadku atakujący wykorzystywał LinkedIn i inne publicznie dostępne informacje, aby zidentyfikować swoje cele i dotrzeć do nich za pośrednictwem poczty elektronicznej. Kierował do tak wytypowanych osób pytanie czy nie chcą może czasami zainstalować oprogramowania ransomware w sieci swojego pracodawcy w zamian za milion dolarów – co miało stanowić 40% części okupu w wysokości 2,5 miliona dolarów. Atakujący zostawia następnie adres e-mail i nazwę użytkownika Telegrama, aby zainteresowane strony mogły się z nim skontaktować - co też badacze uczynili aby dowiedzieć się więcej o kampanii i osobach za nią stojących.
Na tropie „cwaniaka”
Szybko okazało się, że osoba atakująca ransomware nie jest najbardziej wyrafinowanym cyberprzestępcą na świecie i szybko obniżyła proponowany koszt okupu do 120 000 dolarów. Jednak dla atakującego to wciąż byłyby duże pieniądze.
Według Crane’a Hassolda, dyrektora ds. analizy zagrożeń w Abnormal Security:
Jak większość cyberprzestępców motywowanych finansowo, także ten osobnik po prostu próbuje zarobić na tym oszustwie jakąkolwiek kwotę. Chociaż w trakcie naszej rozmowy szybko przeszedł do znacznie niższej kwoty okupu, to 100 000 lub 1 milion dolarów byłoby dla niego z pewnością kwotą zmieniającą życie.
Napastnik twierdził, że osoba odpowiedzialna za instalację ransomware w sieci nie zostanie złapana. Twierdził, że DemonWare zaszyfruje wszystko, łącznie z plikami z kamer przemysłowych. Naukowcy zauważają, że takie podejście sugeruje, iż atakujący nie jest zbyt dobrze zaznajomiony z cyfrową kryminalistyką lub śledztwami dotyczącymi reagowania na incydenty.
Nigeryjski książę odżył?
Analiza plików wysłanych przez atakującego potwierdziła, że próbuje on rozprowadzić działającą wersję ransomware DemonWare. Atakujący twierdzi, że sam napisał to ransomware, ale jest to kłamstwo - DemonWare jest dostępny do pobrania z GitHub, a jego prawdziwy autor umieścił go tam aby zademonstrować, jak łatwo stworzyć ransomware i jak ono działa...
Twierdzenia atakującego o byciu programistą ransomware są prawdopodobnie tylko kolejną częścią próby przekonania ludzi do przejścia przez zaproponowany im schemat działania. Według atakującego, udało mu się zachęcić ludzi do pomocy we wdrożeniu ransomware, chociaż jego twierdzenia są mało wiarygodne.
No dobrze, ale kim jest ten niedoszły atakujący? Korzystając z adresu e-mail i danych kontaktowych Telegrama, które podał w swojej pierwszej wiadomości, badacze byli w stanie namierzyć go na stronie internetowej handlu Nairą, walutą Nigerii, jak również na rosyjskiej platformie mediów społecznościowych. Po przedstawieniu tych informacji w wiadomościach, atakujący potwierdził, że jest Nigeryjczykiem.