Racconti di ransomware: l'attacco MitM che aveva davvero un uomo nel mezzo

Racconti di ransomware: l'attacco MitM che aveva davvero un uomo nel mezzo

Timestamp: 24 maggio 2023 1:59
Nodo di origine: 2674840
by

Ci sono voluti più di cinque anni per fare giustizia in questo caso, ma i poliziotti ei tribunali Sono arrivato là alla fine.

L'ufficio delle forze dell'ordine del Regno Unito SEROCU, abbreviazione di Unità per la criminalità organizzata regionale del sud-est, questa settimana ha riportato il racconto singolare di un certo Ashley Liles, il letterale Man in the Middle a cui abbiamo fatto riferimento nel titolo.

In questi giorni, di solito espandiamo il termine gergale MitM per dire Manipolatore nel mezzo, non solo per evitare il termine di genere "uomo", ma anche perché molti, se non la maggior parte, degli attacchi MitM in questi giorni sono eseguiti da macchine.

Alcuni tecnici hanno persino adottato il nome Macchina in mezzo, ma preferiamo "manipolatore" perché pensiamo che descriva utilmente come funziona questo tipo di attacco e perché (come mostra questa storia) a volte c'è davvero l'uomo, e non una macchina, nel mezzo.

MitM ha spiegato

Un attacco MitM dipende da qualcuno o qualcosa che può intercettare i messaggi che ti vengono inviati e modificarli durante il passaggio per ingannarti.

L'attaccante in genere modifica anche le tue risposte al mittente originale, in modo che non si accorga dell'inganno e venga risucchiato nell'inganno insieme a te.

Come puoi immaginare, la crittografia è un modo per evitare gli attacchi MitM, l'idea è che se i dati vengono crittografati prima di essere inviati, chiunque o qualunque cosa si trovi nel mezzo non può capirli affatto.

L'attaccante non solo dovrebbe decrittografare i messaggi da ciascuna estremità per capire cosa significano, ma anche crittografare correttamente i messaggi modificati prima di trasmetterli, al fine di evitare il rilevamento e mantenere il tradimento.

Un racconto classico e fatale del MitM risale alla fine del 1580, quando i maestri di spionaggio della regina Elisabetta I d'Inghilterra furono in grado di intercettare e manipolare la corrispondenza segreta di Maria, regina di Scozia.

Mary, che era la cugina e rivale politica di Elizabeth, era all'epoca agli arresti domiciliari rigorosi; i suoi messaggi segreti erano apparentemente contrabbandati dentro e fuori in barili di birra consegnati al castello dove era detenuta.

Fatalmente per Mary, gli spymaster della regina Bess non solo furono in grado di intercettare e leggere i messaggi di Mary, ma anche di inviare risposte falsificate che indussero Mary a mettere per iscritto dettagli sufficienti per cucinare la propria oca, per così dire, rivelando che era a conoscenza di, e sostenuto attivamente, un complotto per far assassinare Elisabetta.

Mary fu condannata a morte e giustiziata nel 1587.

Avanzamento rapido fino al 2018

Questa volta, fortunatamente, non c'erano piani di assassinio e l'Inghilterra ha abolito la pena di morte nel 1998.

Ma questo crimine di intercettazione di messaggi del 21° secolo è stato tanto audace e subdolo quanto semplice.

Un'azienda a Oxford, in Inghilterra, appena a nord di Sophos (siamo 15 km a valle di Abingdon-on-Thames, nel caso ve lo steste chiedendo) è stata colpita da ransomware nel 2018.

Nel 2018 eravamo già entrati nell'era contemporanea del ransomware, in cui i criminali irrompono e ricattano intere aziende alla volta, chiedendo ingenti somme di denaro, invece di inseguire decine di migliaia di singoli proprietari di computer per $ 300 ciascuno.

È stato allora che l'autore ora condannato è passato dall'essere un amministratore di sistema nell'azienda interessata a un criminale informatico Man-in-the-Middle.

Mentre lavorava sia con l'azienda che con la polizia per affrontare l'attacco, l'autore, Ashely Liles, 28 anni, si è rivoltato contro i suoi colleghi:

  • Modifica dei messaggi di posta elettronica dai truffatori originali ai suoi capi e modifica degli indirizzi Bitcoin elencati per il pagamento del ricatto. Liles sperava in tal modo di intercettare qualsiasi pagamento che potesse essere effettuato.
  • Spoofing dei messaggi dei truffatori originali per aumentare la pressione a pagare. Supponiamo che Liles abbia usato le sue conoscenze privilegiate per creare scenari peggiori che sarebbero stati più credibili di qualsiasi minaccia che gli aggressori originali avrebbero potuto inventare.

Non è chiaro dal rapporto della polizia esattamente come Liles intendesse incassare.

Forse intendeva semplicemente scappare con tutti i soldi e poi comportarsi come se il truffatore della crittografia fosse fuggito con le stesse criptovalute?

Forse ha aggiunto il proprio markup alla tariffa e ha cercato di negoziare la richiesta degli aggressori, nella speranza di ottenere un enorme giorno di paga per se stesso acquisendo comunque la chiave di decrittazione, diventando un eroe nel processo di "recupero" e deviando così i sospetti ?

Il difetto nel piano

Come è successo, il vile piano di Liles è stato rovinato da due cose: la società non ha pagato, quindi non c'erano Bitcoin da intercettare, e le sue manipolazioni non autorizzate nel sistema di posta elettronica della società sono comparse nei registri di sistema.

La polizia ha arrestato Liles e ha perquisito la sua attrezzatura informatica alla ricerca di prove, solo per scoprire che aveva cancellato i suoi computer, il suo telefono e un mucchio di unità USB pochi giorni prima.

Tuttavia, i poliziotti hanno recuperato i dati dai dispositivi non così vuoti di Liles, collegandolo direttamente a quella che si può pensare a una doppia estorsione: cercare di truffare il suo datore di lavoro, truffando allo stesso tempo i truffatori che stavano già truffando il suo datore di lavoro.

Curiosamente, questo caso si è trascinato per cinque anni, con Liles che ha mantenuto la sua innocenza fino a quando improvvisamente ha deciso di dichiararsi colpevole in un'udienza in tribunale il 2023-05-17.

(Dichiararsi colpevole guadagna una pena ridotta, anche se secondo le normative vigenti, l'importo dello "sconto", come è piuttosto stranamente ma ufficialmente noto in Inghilterra, diminuisce quanto più a lungo l'accusato resiste prima di ammettere di averlo fatto.)

Cosa fare?

Questa è la seconda minaccia interna abbiamo scritto di questo mese, quindi ripeteremo i consigli che abbiamo dato prima:

  • Dividere e conquistare. Cerca di evitare situazioni in cui i singoli amministratori di sistema hanno accesso illimitato a tutto. Ciò rende più difficile per i dipendenti disonesti ideare ed eseguire crimini informatici "insider" senza cooptare altre persone nei loro piani, rischiando così l'esposizione precoce.
  • Mantieni registri immutabili. In questo caso, a quanto pare Liles non è stato in grado di rimuovere le prove che dimostrano che qualcuno aveva manomesso l'e-mail di altre persone, il che ha portato al suo arresto. Rendi il più difficile possibile per chiunque, sia interno che esterno, manomettere la tua storia informatica ufficiale.
  • Misurare sempre, mai dare per scontato. Ottieni una conferma indipendente e obiettiva delle richieste di sicurezza. La stragrande maggioranza degli amministratori di sistema è onesta, a differenza di Ashley Liles, ma pochi di loro hanno sempre ragione al 100%.

    MISURA SEMPRE, MAI ASSUMERE

    Hai poco tempo o esperienza per occuparti della risposta alle minacce alla sicurezza informatica?
    Preoccupato che la sicurezza informatica finisca per distrarti da tutte le altre cose che devi fare?

    Dai un'occhiata a Sophos Managed Detection and Response:
    Ricerca, rilevamento e risposta alle minacce 24 ore su 7, XNUMX giorni su XNUMX  ▶

    SCOPRI DI PIÙ SULLA RISPOSTA AGLI ATTACCHI

    Ancora una volta sulla breccia, cari amici, ancora una volta!

    Peter Mackenzie, Director of Incident Response di Sophos, parla della lotta al crimine informatico nella vita reale in una sessione che ti allarma, ti diverte e ti istruisce, il tutto in egual misura. (Trascrizione completa a disposizione.)

    Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.

Timestamp:

Di più da Sicurezza nuda