Kisah Ransomware: Serangan MitM yang benar-benar memiliki Man in the Middle

Kisah Ransomware: Serangan MitM yang benar-benar memiliki Man in the Middle

Stempel Waktu: 24 Mei 2023 1
Node Sumber: 2674840
by

Butuh waktu lebih dari lima tahun untuk menegakkan keadilan dalam kasus ini, kecuali polisi dan pengadilan sampai di sana pada akhirnya.

Kantor penegakan hukum Inggris SEROCU, kependekan dari Unit Kejahatan Terorganisir Regional Tenggara, minggu ini melaporkan kisah yang aneh dari satu Ashley Liles, Pria literal di Tengah yang kami rujuk di tajuk utama.

Hari-hari ini, kami biasanya memperluas istilah jargon MitM berarti Manipulator di Tengah, tidak hanya untuk menghindari istilah gender "manusia", tetapi juga karena banyak, jika tidak sebagian besar, serangan MitM saat ini dilakukan oleh mesin.

Beberapa teknisi bahkan mengadopsi nama tersebut Mesin di Tengah, tetapi kami lebih suka "manipulator" karena menurut kami ini berguna untuk menggambarkan cara kerja serangan semacam ini, dan karena (seperti yang diperlihatkan cerita ini) terkadang yang benar-benar manusia, dan bukan mesin, di tengah-tengah.

MitM menjelaskan

Serangan MitM bergantung pada seseorang atau sesuatu yang dapat mencegat pesan yang dikirimkan kepada Anda, dan memodifikasinya saat melewatinya untuk menipu Anda.

Penyerang biasanya juga mengubah balasan Anda ke pengirim asli, sehingga mereka tidak melihat penipuan, dan tersedot ke dalam tipu daya bersama Anda.

Seperti yang dapat Anda bayangkan, kriptografi adalah salah satu cara untuk menghindari serangan MitM, idenya adalah jika data dienkripsi sebelum dikirim, maka siapa pun atau apa pun yang berada di tengah tidak dapat memahaminya sama sekali.

Penyerang tidak hanya perlu mendekripsi pesan dari setiap ujung untuk mencari tahu apa artinya, tetapi juga mengenkripsi ulang pesan yang dimodifikasi dengan benar sebelum meneruskannya, untuk menghindari deteksi dan mempertahankan pengkhianatan.

Salah satu kisah MitM yang klasik dan fatal berasal dari akhir tahun 1580-an, ketika kepala mata-mata Ratu Inggris Elizabeth I dapat mencegat dan memanipulasi korespondensi rahasia dari Mary, Ratu Skotlandia.

Mary, yang merupakan sepupu Elizabeth dan musuh bebuyutan politik, pada saat itu berada di bawah tahanan rumah yang ketat; pesan rahasianya tampaknya diselundupkan masuk dan keluar dalam tong bir yang dikirim ke kastil tempat dia ditahan.

Mematikan bagi Mary, kepala mata-mata Ratu Bess tidak hanya dapat mencegat dan membaca pesan Mary, tetapi juga mengirim balasan palsu yang memikat Mary untuk memasukkan detail yang cukup secara tertulis untuk memasak angsa sendiri, seolah-olah, mengungkapkan bahwa dia menyadari, dan didukung secara aktif, rencana untuk membunuh Elizabeth.

Mary dijatuhi hukuman mati, dan dieksekusi pada tahun 1587.

Maju cepat ke 2018

Untungnya, kali ini tidak ada rencana pembunuhan, dan Inggris menghapus hukuman mati pada tahun 1998.

Tapi kejahatan penyadapan pesan abad ke-21 ini sama berani dan liciknya dengan yang sederhana.

Sebuah bisnis di Oxford, Inggris, tepat di utara Sophos (kami berada 15 km di hilir di Abingdon-on-Thames, jika Anda bertanya-tanya) terkena ransomware pada tahun 2018.

Pada tahun 2018, kami telah memasuki era ransomware kontemporer, di mana penjahat membobol dan memeras seluruh perusahaan sekaligus, meminta uang dalam jumlah besar, alih-alih mengejar puluhan ribu pemilik komputer individu masing-masing seharga $300.

Saat itulah pelaku yang sekarang dihukum berubah dari Sysadmin-in-the-Affected-Business menjadi penjahat dunia maya Man-in-the-Middle.

Saat bekerja sama dengan perusahaan dan polisi untuk menangani penyerangan tersebut, pelaku, Ashely Liles, 28 tahun, menyerang rekan-rekannya dengan:

  • Memodifikasi pesan email dari penjahat asli ke atasannya, dan mengedit alamat Bitcoin yang terdaftar untuk pembayaran pemerasan. Dengan demikian Liles berharap untuk mencegat pembayaran apa pun yang mungkin dilakukan.
  • Memalsukan pesan dari penjahat asli untuk meningkatkan tekanan untuk membayar. Kami menduga bahwa Liles menggunakan pengetahuan orang dalam untuk membuat skenario terburuk yang akan lebih dapat dipercaya daripada ancaman apa pun yang mungkin muncul dari penyerang asli.

Tidak jelas dari laporan polisi bagaimana tepatnya Liles bermaksud untuk menguangkan.

Mungkin dia bermaksud melarikan diri dengan semua uang dan kemudian bertindak seolah-olah penjahat enkripsi telah memotong-dan-lari dan melarikan diri dengan cryptocoin itu sendiri?

Mungkin dia menambahkan markupnya sendiri ke biaya dan mencoba menegosiasikan permintaan penyerang, dengan harapan mendapatkan gaji besar untuk dirinya sendiri sambil tetap mendapatkan kunci dekripsi, menjadi pahlawan dalam proses "pemulihan", dan dengan demikian menangkis kecurigaan. ?

Cacat dalam rencana

Kebetulan, rencana pengecut Liles dirusak oleh dua hal: perusahaan tidak membayar, jadi tidak ada Bitcoin untuk dicegat, dan mengutak-atik sistem email perusahaan yang tidak sah muncul di log sistem.

Polisi menangkap Liles dan menggeledah peralatan komputernya untuk mencari bukti, hanya untuk menemukan bahwa dia telah menghapus komputernya, teleponnya, dan banyak drive USB beberapa hari sebelumnya.

Namun demikian, polisi memulihkan data dari perangkat Liles yang tidak kosong seperti yang dia pikirkan, menghubungkannya langsung dengan apa yang dapat Anda anggap sebagai pemerasan ganda: mencoba menipu majikannya, sementara pada saat yang sama menipu para penipu yang sudah menipu majikannya.

Menariknya, kasus ini berlarut-larut selama lima tahun, dengan Liles mempertahankan ketidakbersalahannya hingga tiba-tiba memutuskan untuk mengaku bersalah dalam sidang pengadilan pada 2023-05-17.

(Mengaku bersalah mendapatkan pengurangan hukuman, meskipun di bawah peraturan saat ini, jumlah "diskon", seperti yang agak aneh tetapi secara resmi dikenal di Inggris, berkurang semakin lama terdakwa bertahan sebelum mengakui bahwa mereka melakukannya.)

Apa yang harus dilakukan?

Ini adalah ancaman orang dalam kedua kami telah menulis tentang bulan ini, jadi kami akan mengulangi saran yang kami berikan sebelumnya:

  • Memecah dan menaklukkan. Cobalah untuk menghindari situasi di mana masing-masing sysadmin memiliki akses tak terbatas ke semuanya. Hal ini mempersulit karyawan nakal untuk membuat dan mengeksekusi kejahatan dunia maya "orang dalam" tanpa mengkooptasi orang lain ke dalam rencana mereka, dan dengan demikian berisiko terekspos lebih awal.
  • Simpan log yang tidak dapat diubah. Dalam kasus ini, Liles rupanya tidak dapat menghilangkan bukti yang menunjukkan bahwa seseorang telah merusak email orang lain, yang berujung pada penangkapannya. Usahakan sekeras mungkin bagi siapa pun, baik orang dalam maupun luar, untuk mengutak-atik sejarah dunia maya resmi Anda.
  • Selalu ukur, jangan pernah berasumsi. Dapatkan konfirmasi klaim keamanan yang independen dan objektif. Sebagian besar sysadmin jujur, tidak seperti Ashley Liles, tetapi hanya sedikit dari mereka yang selalu benar 100%.

    SELALU MENGUKUR, JANGAN PERNAH BERASUMSI

    Kehabisan waktu atau keahlian untuk menangani respons ancaman keamanan siber?
    Khawatir keamanan siber pada akhirnya akan mengganggu Anda dari semua hal lain yang perlu Anda lakukan?

    Lihatlah Sophos Managed Detection and Response:
    Perburuan, deteksi, dan respons ancaman 24/7  ▶

    PELAJARI LEBIH LANJUT TENTANG MENANGGAPI SERANGAN

    Sekali lagi pelanggaran, teman-teman terkasih, sekali lagi!

    Peter Mackenzie, Director of Incident Response di Sophos, berbicara tentang pertarungan kejahatan dunia maya di kehidupan nyata dalam sesi yang akan mengingatkan, menghibur, dan mendidik Anda, semuanya dalam ukuran yang setara. (Transkrip lengkap tersedia.)

    Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.

Stempel Waktu:

Lebih dari Keamanan Telanjang