Ransomware-Geschichten: Der MitM-Angriff, bei dem wirklich ein Mann in der Mitte war

Ransomware-Geschichten: Der MitM-Angriff, bei dem wirklich ein Mann in der Mitte war

Zeitstempel: 24. Mai 2023 1:59 Uhr
Quellknoten: 2674840
by

Es hat mehr als fünf Jahre gedauert, bis in diesem Fall Gerechtigkeit zustande kam, aber die Polizei und die Gerichte angekommen schlussendlich.

Die britische Strafverfolgungsbehörde SEROCU, kurz für Regionale Abteilung für organisierte Kriminalität im Südosten, diese Woche berichtete das eigenartige Geschichte von Ashley Liles, dem buchstäblichen Mann in der Mitte, auf den wir uns in der Überschrift bezogen haben.

Heutzutage erweitern wir normalerweise den Jargonbegriff MitM meinen Manipulator in der Mitte, nicht nur, um den geschlechtsspezifischen Begriff „Mann“ zu vermeiden, sondern auch, weil viele, wenn nicht die meisten MitM-Angriffe heutzutage von Maschinen ausgeführt werden.

Einige Technikfreaks haben den Namen sogar übernommen Maschine in der Mitte, aber wir bevorzugen „Manipulator“, weil wir denken, dass es sinnvoll beschreibt, wie diese Art von Angriff funktioniert, und weil (wie diese Geschichte zeigt) manchmal wirklich der Mensch und keine Maschine in der Mitte steht.

MitM erklärt

Bei einem MitM-Angriff kommt es darauf an, dass jemand oder etwas an Sie gesendete Nachrichten abfängt und sie auf dem Weg dorthin verändert, um Sie zu täuschen.

Der Angreifer ändert in der Regel auch Ihre Antworten an den ursprünglichen Absender, sodass er die Täuschung nicht erkennt und nicht mit Ihnen in die Tricks hineingezogen wird.

Wie Sie sich vorstellen können, ist Kryptographie eine Möglichkeit, MitM-Angriffe zu vermeiden. Die Idee dahinter ist, dass, wenn die Daten vor dem Senden verschlüsselt werden, wer oder was auch immer sich dazwischen befindet, sie überhaupt nicht verstehen kann.

Der Angreifer müsste nicht nur die Nachrichten von jedem Ende aus entschlüsseln, um herauszufinden, was sie bedeuten, sondern auch die geänderten Nachrichten vor der Weitergabe korrekt erneut verschlüsseln, um einer Entdeckung zu entgehen und den Verrat aufrechtzuerhalten.

Eine klassische und fatale MitM-Geschichte stammt aus den späten 1580er Jahren, als es den Spionagemeistern der englischen Königin Elisabeth I. gelang, geheime Korrespondenz von Maria, der Königin von Schottland, abzufangen und zu manipulieren.

Mary, Elizabeths Cousine und politische Erzrivalin, stand zu dieser Zeit unter strengem Hausarrest; Ihre geheimen Nachrichten wurden offenbar in Bierfässern hinein- und hinausgeschmuggelt und in das Schloss gebracht, in dem sie festgehalten wurde.

Zum Verhängnis für Mary war, dass die Spionagemeister von Königin Bess nicht nur in der Lage waren, Marys Nachrichten abzufangen und zu lesen, sondern auch gefälschte Antworten zu senden, die Mary dazu verleiteten, genügend Details schriftlich festzuhalten, um sozusagen ihre eigene Gans zu kochen, und enthüllten, dass sie sich dessen bewusst war, und unterstützte aktiv einen Plan zur Ermordung Elisabeths.

Maria wurde zum Tode verurteilt und 1587 hingerichtet.

Schneller Vorlauf bis 2018

Diesmal gab es glücklicherweise keine Mordpläne und England schaffte 1998 die Todesstrafe ab.

Aber dieses Verbrechen des Abfangens von Nachrichten im 21. Jahrhundert war ebenso dreist und hinterlistig wie einfach.

Ein Unternehmen in Oxford, England, nördlich von Sophos (wir sind 15 km flussabwärts in Abingdon-on-Thames, falls Sie sich fragen) wurde 2018 von Ransomware heimgesucht.

Im Jahr 2018 waren wir bereits in der modernen Ransomware-Ära angekommen, in der Kriminelle in ganze Unternehmen einbrechen und diese erpressen und riesige Geldsummen verlangen, anstatt Zehntausende einzelne Computerbesitzer für jeweils 300 US-Dollar zu jagen.

Zu diesem Zeitpunkt entwickelte sich der inzwischen verurteilte Täter von einem Systemadministrator im betroffenen Unternehmen zu einem Man-in-the-Middle-Cyberkriminellen.

Während er mit dem Unternehmen und der Polizei zusammenarbeitete, um den Angriff aufzuklären, wandte sich der Täter, Ashely Liles, 28, gegen seine Kollegen, indem er:

  • Ändern der E-Mail-Nachrichten der ursprünglichen Gauner an seine Vorgesetzten und Bearbeiten der für die Erpressungszahlung aufgeführten Bitcoin-Adressen. Liles hoffte damit, etwaige Zahlungen abfangen zu können.
  • Spoofing von Nachrichten der ursprünglichen Betrüger, um den Druck zur Zahlung zu erhöhen. Wir vermuten, dass Liles sein Insiderwissen genutzt hat, um Worst-Case-Szenarien zu erstellen, die glaubwürdiger wären als alle Bedrohungen, die sich die ursprünglichen Angreifer hätten ausdenken können.

Aus dem Polizeibericht geht nicht genau hervor, wie Liles die Auszahlung vornehmen wollte.

Vielleicht hatte er vor, einfach mit dem ganzen Geld davonzulaufen und dann so zu tun, als hätte der Verschlüsselungsbetrüger mit den Kryptocoins selbst davongehauen und sich davongemacht?

Vielleicht fügte er der Gebühr seinen eigenen Aufschlag hinzu und versuchte, die Forderung der Angreifer herunterzuhandeln, in der Hoffnung, sich einen riesigen Lohn zu sichern und trotzdem an den Entschlüsselungsschlüssel zu gelangen, ein Held im „Wiederherstellungsprozess“ zu werden und so den Verdacht abzulenken ?

Der Fehler im Plan

Zufälligerweise wurde Liles‘ heimtückischer Plan durch zwei Dinge zunichte gemacht: Das Unternehmen zahlte nicht, es gab also keine Bitcoins, die er abfangen konnte, und seine unbefugten Eingriffe in das E-Mail-System des Unternehmens tauchten in den Systemprotokollen auf.

Die Polizei verhaftete Liles und durchsuchte seine Computerausrüstung nach Beweisen, stellte jedoch fest, dass er einige Tage zuvor seine Computer, sein Telefon und ein paar USB-Laufwerke gelöscht hatte.

Dennoch stellten die Polizisten Daten von Liles‘ Geräten wieder her, die gar nicht so leer waren, wie er dachte, und brachten ihn direkt mit etwas in Verbindung, das man sich als doppelte Erpressung vorstellen kann: dem Versuch, seinen Arbeitgeber zu betrügen und gleichzeitig die Betrüger zu betrügen betrog bereits seinen Arbeitgeber.

Interessanterweise zog sich dieser Fall über fünf Jahre hin, wobei Liles seine Unschuld beteuerte, bis er sich in einer Gerichtsverhandlung am 2023 plötzlich dazu entschloss, sich schuldig zu bekennen.

(Wenn man sich schuldig bekennt, wird die Strafe herabgesetzt, allerdings verringert sich nach den geltenden Vorschriften die Höhe des „Rabatts“, wie er in England seltsamerweise aber offiziell genannt wird, je länger der Angeklagte durchhält, bevor er zugibt, dass er es getan hat.)

Was ist zu tun?

Dies ist die zweite Insider-Bedrohung Wir haben über diesen Monat geschrieben, daher wiederholen wir den Rat, den wir zuvor gegeben haben:

  • Teilen und erobern. Vermeiden Sie Situationen, in denen einzelne Systemadministratoren uneingeschränkten Zugriff auf alles haben. Dadurch wird es für betrügerische Mitarbeiter schwieriger, „Insider“-Cyberkriminalität auszuhecken und auszuführen, ohne andere Personen in ihre Pläne einzubeziehen und so das Risiko einer frühzeitigen Aufdeckung einzugehen.
  • Führen Sie unveränderliche Protokolle. In diesem Fall war Liles offenbar nicht in der Lage, die Beweise dafür zu entfernen, dass jemand die E-Mails anderer Personen manipuliert hatte, was zu seiner Verhaftung führte. Machen Sie es jedem, egal ob Insider oder Außenstehender, so schwer wie möglich, Ihre offizielle Cyberhistorie zu manipulieren.
  • Messen Sie immer, gehen Sie niemals davon aus. Erhalten Sie eine unabhängige, objektive Bestätigung Ihrer Sicherheitsansprüche. Im Gegensatz zu Ashley Liles ist die überwiegende Mehrheit der Systemadministratoren ehrlich, aber nur wenige von ihnen haben immer 100 % Recht.

    IMMER MESSEN, NIEMALS ANNEHMEN

    Fehlt Ihnen die Zeit oder das Fachwissen, um sich um die Reaktion auf Cybersicherheitsbedrohungen zu kümmern?
    Befürchten Sie, dass die Cybersicherheit Sie am Ende von all den anderen Dingen ablenken wird, die Sie tun müssen?

    Werfen Sie einen Blick auf Sophos Managed Detection and Response:
    Bedrohungssuche, -erkennung und -reaktion rund um die Uhr  ▶

    Erfahren Sie mehr über die Reaktion auf Angriffe

    Noch einmal zur Bresche, liebe Freunde, noch einmal!

    Peter Mackenzie, Director of Incident Response bei Sophos, spricht in einer Sitzung, die Sie gleichermaßen alarmieren, amüsieren und aufklären wird, über die Bekämpfung der Cyberkriminalität im echten Leben. (Vollständiges Transkript verfügbar.)

    Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.

Zeitstempel:

Mehr von Nackte Sicherheit