Ransomware-fortællinger: MitM-angrebet, der virkelig havde en mand i midten

Det har taget mere end fem år for retfærdigheden at blive afsonet i denne sag, men politiet og domstolene kom dertil til sidst.

Det britiske retshåndhævende kontor SEROCU, en forkortelse for South East Regional Organized Crime Unit, rapporterede i denne uge ejendommelig fortælling af en Ashley Liles, den bogstavelige mand i midten, som vi henviste til i overskriften.

I disse dage udvider vi normalt jargonbegrebet MitM at mene Manipulator i midten, ikke blot for at undgå det kønnede udtryk "mand", men også fordi mange, hvis ikke de fleste, MitM-angreb i disse dage udføres af maskiner.

Nogle teknologer har endda taget navnet til sig Maskine i midten, men vi foretrækker "manipulator", fordi vi synes, det på en nyttig måde beskriver, hvordan denne slags angreb fungerer, og fordi (som denne historie viser) nogle gange virkelig er mennesket, og ikke en maskine, i midten.

MitM forklarede

Et MitM-angreb afhænger af nogen eller noget, der kan opsnappe beskeder sendt til dig, og ændre dem på vejen igennem for at bedrage dig.

Angriberen ændrer typisk også dine svar til den oprindelige afsender, så de ikke opdager bedraget og bliver suget ind i tricket sammen med dig.

Som du kan forestille dig, er kryptografi en måde at undgå MitM-angreb på, ideen er, at hvis dataene er krypteret, før de sendes, så kan hvem eller hvad der nu er i midten slet ikke forstå det.

Angriberen skulle ikke kun dekryptere meddelelserne fra hver ende for at finde ud af, hvad de betød, men også at genkryptere de ændrede meddelelser korrekt, før de videresendes, for at undgå opdagelse og vedligeholde forræderiet.

En klassisk og fatal MitM-fortælling går tilbage til slutningen af ​​1580'erne, hvor spionmestre for Englands dronning Elizabeth I var i stand til at opsnappe og manipulere hemmelig korrespondance fra Mary, Queen of Scots.

Mary, som var Elizabeths kusine og politiske ærkerival, var på det tidspunkt under streng husarrest; hendes hemmelige beskeder blev tilsyneladende smuglet ind og ud i øltønder leveret til slottet, hvor hun blev tilbageholdt.

Dødeligt for Mary var dronning Bess' spionmestre ikke kun i stand til at opsnappe og læse Marys beskeder, men også at sende forfalskede svar, der lokkede Mary til at skrive tilstrækkelige detaljer på skrift til at koge sin egen gås, så at sige, og afsløre, at hun var klar over, og aktivt støttet, et plan om at få Elizabeth myrdet.

Mary blev dømt til døden og henrettet i 1587.

Hurtigt frem til 2018

Denne gang var der heldigvis ingen mordplaner, og England afskaffede dødsstraffen i 1998.

Men denne aflytningsforbrydelse fra det 21. århundrede var lige så dristig og lige så lumsk, som den var enkel.

En virksomhed i Oxford, England, lige nord for Sophos (vi er 15 km ned ad floden i Abingdon-on-Thames, hvis du undrede dig) blev ramt af ransomware i 2018.

I 2018 var vi allerede gået ind i den nutidige ransomware-æra, hvor kriminelle bryder ind og afpresser hele virksomheder ad gangen og beder om enorme pengesummer i stedet for at gå efter titusindvis af individuelle computerejere for 300 dollars hver.

Det var da den nu dømte gerningsmand gik fra at være en Sysadmin-i-den-berørte-virksomhed til en Man-in-the-Middle cyberkriminel.

Mens han arbejdede med både virksomheden og politiet for at håndtere angrebet, vendte gerningsmanden, Ashely Liles, 28, sig mod sine kolleger ved at:

• Ændring af e-mail-beskeder fra de originale skurke til hans chefer og redigering af Bitcoin-adresserne, der er angivet for afpresningsbetalingen. Liles håbede derved at opsnappe eventuelle betalinger, der måtte blive foretaget.
• Spoofing beskeder fra de originale skurke for at øge presset for at betale. Vi gætter på, at Liles brugte sin insiderviden til at skabe worst-case scenarier, der ville være mere troværdige end nogen trusler, som originale angribere kunne have fundet på.

Det fremgår ikke præcist af politirapporten, hvordan Liles havde tænkt sig at udbetale.

Måske havde han bare til hensigt at stikke af med alle pengene og derefter opføre sig, som om krypteringsskurken havde skåret og løb og stukket af med selve kryptomønterne?

Måske tilføjede han sin egen pristillæg til gebyret og forsøgte at forhandle angribernes krav ned i håbet om at klare en massiv lønningsdag for sig selv, mens han alligevel erhvervede dekrypteringsnøglen, blive en helt i "genopretningsprocessen" og derved aflede mistanke ?

Fejlen i planen

Som det skete, blev Liles' modbydelige plan ødelagt af to ting: Virksomheden betalte ikke, så der var ingen Bitcoins for ham at opsnappe, og hans uautoriserede fiflen i virksomhedens e-mail-system dukkede op i systemloggene.

Politiet arresterede Liles og gennemsøgte hans computerudstyr efter beviser, blot for at finde ud af, at han havde tørret sine computere, sin telefon og en masse USB-drev nogle dage tidligere.

Ikke desto mindre gendannede politiet data fra Liles' ikke-så-blanke-som-han-troede enheder, og kædede ham direkte sammen med, hvad du kan tænke på som en dobbelt afpresning: at forsøge at snyde sin arbejdsgiver, mens han samtidig snyder svindlerne, som allerede snydt sin arbejdsgiver.

Spændende nok trak denne sag ud i fem år, hvor Liles fastholdt sin uskyld, indtil han pludselig besluttede at erkende sig skyldig i et retsmøde den 2023-05-17.

(At erklære sig skyldig giver en reduceret straf, men i henhold til gældende regler falder mængden af ​​"rabat", som det er ret mærkeligt, men officielt kendt i England, jo længere den anklagede holder ud, før han indrømmer, at de gjorde det.)

Hvad skal jeg gøre?

Dette er den anden insidertrussel vi har skrevet om denne måned, så vi gentager de råd, vi gav før:

• Opdel og erobre. Prøv at undgå situationer, hvor individuelle sysadmins har uhindret adgang til alt. Dette gør det sværere for useriøse medarbejdere at finde på og udføre "insider" cyberkriminalitet uden at medtage andre mennesker i deres planer og dermed risikere tidlig eksponering.
• Hold uforanderlige logfiler. I dette tilfælde var Liles tilsyneladende ude af stand til at fjerne beviserne, der viste, at nogen havde manipuleret med andres e-mail, hvilket førte til hans anholdelse. Gør det så svært som muligt for enhver, uanset om det er insider eller outsider, at pille ved din officielle cyberhistorie.
• Mål altid, antag aldrig. Få uafhængig, objektiv bekræftelse af sikkerhedskrav. Langt de fleste sysadmins er ærlige, i modsætning til Ashley Liles, men få af dem har 100% ret hele tiden.
  

  ---

  MÅL ALTID, FORTAG ALDRIG

  Mangler du tid eller ekspertise til at tage sig af cybersikkerhedstrusler?
  Bekymret for, at cybersikkerhed vil ende med at distrahere dig fra alle de andre ting, du skal gøre?

  Tag et kig på Sophos Managed Detection and Response:
  24/7 trusselsjagt, detektion og reaktion  ▶

  ---

  LÆR MERE OM AT REAGERE PÅ ANgreb

  Endnu en gang til brud, kære venner, endnu en gang!

  Peter Mackenzie, Director of Incident Response hos Sophos, taler om bekæmpelse af cyberkriminalitet i det virkelige liv i en session, der vil alarmere, underholde og uddanne dig, alt på lige fod. (Fuld udskrift ledig.)

  Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.

  ---

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
• Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
• Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
• Kilde: https://nakedsecurity.sophos.com/2023/05/24/ransomware-tales-the-mitm-attack-that-really-had-a-man-in-the-middle/