Ransomware mesék: A MitM támadás, amelynek középpontjában valóban volt egy ember

Ransomware mesék: A MitM támadás, amelynek középpontjában valóban volt egy ember

Időbélyeg: 24. május 2023. 1:59
Forrás csomópont: 2674840
by

Több mint öt évbe telt, mire ebben az ügyben igazságot szolgáltatnak, de a zsaruk és a bíróságok eljutott oda a végén.

Az Egyesült Királyság bűnüldöző hivatala SEROCU, rövidítése Délkeleti Regionális Szervezett Bűnözés Elleni Osztály, ezen a héten számolt be a különös mese az egyik Ashley Liles-ről, a szó szoros értelmében vett emberről, akire a főcímben hivatkoztunk.

Manapság általában kiterjesztjük a zsargon kifejezést WithM jelenti Manipulátor középen, nemcsak azért, hogy elkerüljük a „férfi” kifejezést, hanem azért is, mert manapság sok, ha nem a legtöbb MitM-támadást gépek hajtják végre.

Egyes technikusok még a nevet is felvették Gép a közepén, de a „manipulátort” részesítjük előnyben, mert úgy gondoljuk, hogy hasznosan leírja, hogyan működik ez a fajta támadás, és mert (ahogyan ez a történet is mutatja) néha tényleg ember, és nem gép áll a közepén.

– magyarázta MitM

A MitM támadás attól függ, hogy valaki vagy valami elfogja az Önnek küldött üzeneteket, és közben módosíthatja azokat, hogy megtévessze Önt.

A támadó általában módosítja az eredeti feladónak küldött válaszait is, hogy ne észlelje a megtévesztést, és Önnel együtt bekerüljön a trükkbe.

Elképzelhető, hogy a kriptográfia az egyik módja annak, hogy elkerüljük a MitM támadásokat, mivel az az elképzelés, hogy ha az adatokat elküldés előtt titkosítják, akkor bárki vagy bármi, aki középen van, egyáltalán nem tudja értelmezni.

A támadónak nemcsak vissza kell fejtenie az üzeneteket mindkét végről, hogy rájöjjön, mit jelentenek, hanem a módosított üzeneteket is helyesen újra kell titkosítania, mielőtt továbbadná őket, hogy elkerülje az észlelést és fenntartsa az árulást.

Az egyik klasszikus és végzetes MitM mese az 1580-as évek végére nyúlik vissza, amikor I. Erzsébet angol királynő kémfőnökei el tudták fogni és manipulálni tudták Mária, a skót királynő titkos levelezését.

Mary, aki Erzsébet unokatestvére és politikai fő riválisa volt, akkoriban szigorú házi őrizetben volt; titkos üzeneteit nyilvánvalóan söröshordókban csempészték ki és be a kastélyba, ahol őrizetbe vették.

Mária számára végzetes módon Bess királynő kémmesterei nemcsak el tudták fogni és elolvasni Mary üzeneteit, hanem hamis válaszokat is küldtek, amelyek arra késztették Maryt, hogy elegendő részletet írjon le a saját libájának elkészítéséhez, ami felfedte, hogy tisztában volt vele: és aktívan támogatta Elizabeth meggyilkolására irányuló összeesküvést.

Máriát halálra ítélték, és 1587-ben kivégezték.

Gyors előrelépés 2018-ig

Ezúttal szerencsére nem készültek merénylettervek, Anglia 1998-ban eltörölte a halálbüntetést.

De ez a 21. századi üzenetelhallgatási bûn éppoly merész és olyan alattomos volt, mint amilyen egyszerû volt.

Az angliai Oxfordban, Sophostól északra (15 km-re a folyón lefelé, Abingdon-on-Thamesben vagyunk, ha kíváncsiak vagyunk) egy üzletet 2018-ban zsarolóvírus érte.

2018-ban már beléptünk a mai zsarolóvírus-korszakba, ahol a bűnözők egyszerre törnek be és zsarolnak egész cégeket, hatalmas összegeket kérve, ahelyett, hogy több tízezer egyéni számítógép-tulajdonost keresnének fejenként 300 dollárért.

Ekkor vált a most elítélt elkövető az Érintett Vállalkozás Rendszeradminisztrátorából Közép-Kiberbűnözővé.

Miközben a céggel és a rendőrséggel együtt dolgozott a támadás kezelésében, az elkövető, Ashely Liles (28) a következőképpen fordult kollégáihoz:

  • Módosítja az eredeti szélhámosoktól a főnökeinek küldött e-mail üzeneteket, és szerkeszti a zsarolási fizetéshez felsorolt ​​Bitcoin-címeket. Liles ezáltal abban reménykedett, hogy elfog minden esetleges kifizetést.
  • Hamis üzenetek az eredeti csalóktól, hogy növeljék a fizetési nyomást. Feltételezzük, hogy Liles bennfentes tudását felhasználva olyan legrosszabb forgatókönyveket dolgozott ki, amelyek hihetőbbek lennének, mint bármely fenyegetés, amelyet az eredeti támadók kitalálhattak volna.

A rendőrségi jelentésből nem derül ki, hogy Liles pontosan hogyan szándékozott kifizetni.

Lehet, hogy egyszerűen el akart futni az összes pénzzel, majd úgy viselkedik, mintha a titkosító szélhámos elszabadult volna, és magukkal a kriptocoinokkal menekült volna?

Talán hozzáadta a saját felárat a díjhoz, és megpróbálta lealkudni a támadók követelését, abban a reményben, hogy hatalmas fizetést szabadít ki magának, miközben mégis megszerezte a dekódoló kulcsot, hőssé válik a „helyreállítási” folyamatban, és ezzel elhárítja a gyanút. ?

A terv hibája

Amint ez megtörtént, Liles aljas tervét két dolog tette tönkre: a cég nem fizetett, így nem voltak Bitcoinok, amelyeket lehallgathatott volna, illetve a céges e-mail rendszerben való illetéktelen babrálása a rendszernaplókban is megjelent.

A rendőrök letartóztatták Lilest, és átkutatták a számítógépes berendezéseit bizonyítékok után, de kiderült, hogy néhány nappal korábban letörölte a számítógépeit, a telefonját és egy csomó USB-meghajtót.

Ennek ellenére a zsaruk visszaszerezték az adatokat Liles nem olyan üres eszközeiről, mint gondolta, és közvetlenül összekapcsolták őt azzal, amit kettős zsarolásnak gondolhat: megpróbálta átverni a munkáltatóját, miközben átverte a csalókat, akik már átverték a munkaadóját.

Érdekes módon ez az ügy öt évig húzódott, miközben Liles mindaddig ártatlan volt, amíg hirtelen úgy döntött, hogy bűnösnek vallja magát a 2023. május 05-i bírósági tárgyaláson.

(Ha bűnösnek beismeri magát, annál mérsékeltebb a büntetés, bár a jelenlegi szabályozás szerint a „kedvezmény” összege – ahogyan ez meglehetősen furcsán, de hivatalosan Angliában ismeretes – annál csökken, minél tovább tart a vádlott, mielőtt beismerné, hogy megtette.

Mit kell tenni?

Ez a második bennfentes fenyegetés erről a hónapról írtunk, ezért megismételjük a korábban adott tanácsunkat:

  • Oszd meg és uralkodj. Próbálja meg elkerülni azokat a helyzeteket, amikor az egyes rendszeradminisztrátorok mindenhez korlátlanul hozzáférhetnek. Ez megnehezíti a szélhámos alkalmazottak számára, hogy „bennfentes” kiberbűnöket találjanak ki és hajtsanak végre anélkül, hogy más embereket bevonnának a terveikbe, és így kockáztatnák a korai leleplezést.
  • Tartsa megváltoztathatatlan naplókat. Ebben az esetben Liles láthatóan nem tudta eltávolítani azokat a bizonyítékokat, amelyek azt mutatták, hogy valaki manipulálta mások e-mailjeit, ami a letartóztatásához vezetett. A lehető legnehezebbé tegye bárki számára, legyen az bennfentes vagy kívülálló, hogy beleavatkozzon hivatalos kibertörténetébe.
  • Mindig mérj, soha ne feltételezz. Szerezzen független, objektív megerősítést a biztonsági állításokról. A rendszeradminisztrátorok túlnyomó többsége őszinte, ellentétben Ashley Liles-szel, de közülük csak kevésnek van mindig 100%-ban igaza.

    MINDIG MÉRJ, SOHA NE FELTÉTELEZZE

    Kevés idő vagy szakértelem a kiberbiztonsági fenyegetésekre való reagáláshoz?
    Aggódik, hogy a kiberbiztonság végül elvonja a figyelmét az összes többi tennivalóról?

    Vessen egy pillantást a Sophos Managed Detection and Response szolgáltatására:
    24 órás fenyegetésvadászat, észlelés és reagálás  ▶

    TOVÁBBI INFORMÁCIÓ A TÁMADÁSRA VALÓ VÁLASZOLÁSRÓL

    Még egyszer a jogsértéshez, kedves barátaim, még egyszer!

    Peter Mackenzie, a Sophos incidens-elhárítási igazgatója a valós kiberbűnözés elleni küzdelemről beszél egy olyan előadáson, amely riaszt, szórakoztat és oktat, mindezt egyformán. (Teljes átirat elérhető.)

    Kattintson és húzza az alábbi hanghullámokat, hogy bármelyik pontra ugorjon. Te is hallgatni közvetlenül a Soundcloudon.

Időbélyeg:

Még több Meztelen biztonság