Questo non era il tuo tipico ciberestorsione situazione.
Più precisamente, seguiva quello che si potrebbe pensare come un percorso logoro, quindi in quel senso risultava “tipico” (se mi si perdoni l'uso della parola tipico nel contesto di un grave crimine informatico), ma non è successo nel modo in cui probabilmente avresti pensato all'inizio.
A partire dal dicembre 2020, il delitto si è svolto come segue:
- L'aggressore ha fatto irruzione tramite una falla di sicurezza sconosciuta.
- L'aggressore ha acquisito i poteri di amministratore di sistema sulla rete.
- L'attaccante ha rubato gigabyte di dati riservati.
- L'attaccante ha modificato i log di sistema per coprire le proprie tracce.
- L'aggressore ha richiesto 50 Bitcoin (quindi vale circa $ 2,000,000) per mettere a tacere le cose.
- L'aggressore ha doxxato la vittima quando il ricatto non è stato pagato.
Doxxare, se non hai familiarità con il termine, è un gergo abbreviato per rilasciare deliberatamente documenti su una persona o società per metterla a rischio di danni fisici, finanziari o di altro tipo.
Quando i cybercriminali doxx individui che non gli piacciono, o con cui hanno un conto che vogliono regolare, l'idea è spesso quella di mettere la vittima a rischio (o almeno temere) di un attacco fisico, ad esempio accusando loro di un crimine atroce, augurando loro giustizia da vigilante e poi dicendo a tutti dove vivono.
Quando la vittima è un'azienda, l'intento criminale è solitamente quello di creare stress operativo, reputazionale, finanziario o normativo per la vittima non solo esponendo che l'azienda ha subito una violazione in primo luogo, ma anche rilasciando deliberatamente informazioni riservate che altri criminali possono abusi subito.
Se fai la cosa giusta e segnali una violazione al tuo regolatore locale, il regolatore non ti chiederà di pubblicare immediatamente dettagli che equivalgono a una guida su "come hackerare l'azienda X in questo momento". Se in seguito si ritiene che la falla di sicurezza sfruttata sia stata facilmente evitabile, l'autorità di regolamentazione potrebbe alla fine decidere di multarti per non aver impedito la violazione, ma lavorerà comunque con te all'inizio per cercare di ridurre al minimo il danno e il rischio.
Sollevare con il suo stesso petardo
La buona notizia in questo caso (buona per la legge e l'ordine, anche se non per l'autore del reato) è che la vittima non era così credulona come sembrava pensare il criminale.
La Compagnia-1, come li chiama il Dipartimento di Giustizia degli Stati Uniti (DOJ) e lo faremo anche noi, anche se la loro identità è stata ampiamente divulgata nei registri pubblici, sembrava aver subito sospettato un lavoro interno.
Entro tre mesi dall'inizio dell'attacco, l'FBI aveva ha fatto irruzione in casa del futuro ex programmatore senior Nickolas Sharp, allora sulla trentina, sospettandolo di essere l'autore.
In effetti, Sharp, nella sua qualità di sviluppatore senior presso Company-1, apparentemente stava "aiutando" (usiamo il termine liberamente qui) a "rimediare" (idem) il suo stesso attacco di giorno, mentre cercava di estorcere $ 2 milioni pagamento del riscatto di notte.
Come parte dell'arresto, i poliziotti hanno sequestrato vari dispositivi informatici, incluso quello che si è rivelato essere il laptop utilizzato da Sharp quando ha attaccato il suo stesso datore di lavoro, e hanno interrogato Sharp sul suo presunto ruolo nel crimine.
Sharp, a quanto pare, non solo ha detto ai federali un mucchio di bugie (o ha reso numerose dichiarazioni false, nelle parole più spassionate del Dipartimento di Giustizia) ma ha anche continuato quella che si potrebbe definire una controffensiva di pubbliche relazioni di "notizie false", apparentemente sperando di depistare le indagini.
Come il DOJ lo mette:
Diversi giorni dopo che l'FBI ha eseguito il mandato di perquisizione presso la residenza di SHARP, SHARP ha causato la pubblicazione di notizie false sull'incidente e sulla risposta della società 1 all'incidente. In quelle storie, SHARP si è identificato come un informatore anonimo all'interno della Società-1 che aveva lavorato per porre rimedio all'Incidente e ha affermato falsamente che la Società-1 era stata violata da un autore non identificato che aveva acquisito intenzionalmente l'accesso come amministratore root agli account AWS della Società-1.
Infatti, come SHARP ben sapeva, lo stesso SHARP aveva preso i dati dell'Azienda-1 utilizzando le credenziali a cui aveva accesso, e SHARP aveva utilizzato quei dati in un tentativo fallito di estorcere milioni di dollari all'Azienda-1.
Quasi subito dopo la notizia della violazione dei dati, il prezzo delle azioni della Società-1 è sceso improvvisamente da circa $ 390 a circa $ 280.
Sebbene il prezzo possa essere notevolmente diminuito a causa di qualsiasi tipo di notifica di violazione, il rapporto del DOJ implica abbastanza ragionevolmente (sebbene si fermi prima di affermare come un dato di fatto) che questa falsa narrazione, come spacciata ai media da Sharp, ha peggiorato la svalutazione di quanto sarebbe stato altrimenti.
Sharp si è dichiarato colpevole nel febbraio 2023; è stato condannato questa settimana a trascorrere sei anni in prigione seguiti da tre anni in libertà vigilata e gli è stato chiesto di pagare una restituzione di poco più di $ 1,500,000.
(Inoltre non riavrà mai nessuna delle sue apparecchiature informatiche confiscate, anche se nessuno sa quanto sarebbe utile quel kit se gli fosse restituito dopo sei anni di prigione e altri tre anni di rilascio controllato.)
Cosa fare?
- Dividere e conquistare. Cerca di evitare situazioni in cui i singoli amministratori di sistema hanno accesso illimitato a tutto. Il fastidio aggiuntivo di richiedere due autorizzazioni indipendenti per importanti operazioni di sistema è un piccolo prezzo da pagare per la sicurezza e il controllo aggiuntivi che offre.
- Mantieni registri immutabili. In questo caso, Sharp è stato in grado di alterare i log di sistema nel tentativo di nascondere il proprio accesso e di gettare invece sospetti sui colleghi. Data la rapidità con cui è stato scoperto, tuttavia, presumiamo che l'Azienda-1 avesse conservato almeno alcuni registri di "sola scrittura" che costituivano una registrazione permanente e innegabile delle principali attività del sistema.
- Misurare sempre, mai dare per scontato. Ottieni una conferma indipendente e obiettiva delle richieste di sicurezza. La stragrande maggioranza degli amministratori di sistema è onesta, a differenza di Nickolas Sharp, ma pochi di loro hanno sempre ragione al 100%.
La maggior parte degli amministratori di sistema che conosciamo sarebbe lieta di avere accesso regolare a una seconda opinione per verificare le proprie ipotesi.
È un aiuto, non un ostacolo, far ricontrollare il lavoro critico sulla sicurezza informatica per assicurarsi non solo che sia stato avviato correttamente, ma anche completato correttamente.
MISURA SEMPRE, MAI ASSUMERE
Hai poco tempo o esperienza per occuparti della risposta alle minacce alla sicurezza informatica?
Preoccupato che la sicurezza informatica finisca per distrarti da tutte le altre cose che devi fare?
Dai un'occhiata a Sophos Managed Detection and Response:
Ricerca, rilevamento e risposta alle minacce 24 ore su 7, XNUMX giorni su XNUMX ▶
SCOPRI DI PIÙ SUGLI AVVERSARI ATTIVI
Leggi la nostra Playbook dell'avversario attivo.
Questo è uno studio affascinante di 144 attacchi nella vita reale del CTO di Sophos Field John Shier.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
- Fonte: https://nakedsecurity.sophos.com/2023/05/12/whodunnit-cybercrook-gets-6-years-for-ransoming-his-own-employer/
- :ha
- :È
- :non
- :Dove
- $ SU
- 000
- 1
- 15%
- 2020
- 2023
- 50
- 500
- a
- capace
- Chi siamo
- Assoluta
- abuso
- accesso
- Il mio account
- conti
- acquisito
- operanti in
- attivo
- attività
- aggiuntivo
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- presunta
- anche
- quantità
- an
- ed
- Anonimo
- in qualsiasi
- SONO
- AS
- assunto
- At
- attacco
- Attaccare
- attacchi
- autore
- autorizzazioni
- auto
- evitare
- lontano
- AWS
- precedente
- background-image
- BE
- stato
- essendo
- Ricatto
- sistema
- Parte inferiore
- violazione
- Rotto
- busto
- ma
- by
- chiamata
- Bandi
- è venuto
- Materiale
- Ultra-Grande
- che
- Custodie
- catturati
- ha causato
- centro
- rivendicato
- colore
- azienda
- Completato
- computer
- conferma
- contesto
- di controllo
- poliziotti
- coprire
- creare
- Credenziali
- crimine
- Azione Penale
- criminali
- critico
- CTO
- cybercrime
- i criminali informatici
- Cybersecurity
- dati
- violazione di dati
- giorno
- Giorni
- Dicembre
- decide
- ritenuto
- Contentissimo
- Richiesta
- richiesto
- Shirts Department
- Dipartimento di Giustizia
- Dipartimento di Giustizia (DoJ)
- dettagli
- rivelazione
- Svalutazione
- Costruttori
- dispositivi
- Dsiplay
- do
- documenti
- DoJ
- dollari
- Dont
- caduto
- facilmente
- fine
- usate
- Anche
- tutti
- qualunque cosa
- esempio
- competenza
- Exploited
- fatto
- fallito
- Caduto
- falso
- familiare
- affascinante
- fbi
- paura
- Febbraio
- Feds
- pochi
- campo
- finanziario
- sottile
- Nome
- seguito
- segue
- Nel
- formato
- da
- ulteriormente
- ottenere
- dato
- dà
- andando
- buono
- guida
- colpevole
- ingenuo
- incidere
- hacked
- ha avuto
- accadere
- Avere
- he
- altezza
- Aiuto
- qui
- nascondere
- lui
- ostacolo
- il suo
- Foro
- sperando
- librarsi
- Come
- Tuttavia
- HTTPS
- Caccia
- idea
- identificato
- Identità
- if
- subito
- immutabile
- importante
- in
- incidente
- Compreso
- studente indipendente
- individuale
- individui
- informazioni
- invece
- intento
- ai miglioramenti
- indagine
- IT
- gergo
- Lavoro
- John
- Giovanni Shier
- ad appena
- giustizia
- tenere
- Le
- kit
- Sapere
- laptop
- dopo
- Legge
- meno
- a sinistra
- si trova
- piace
- vivere
- locale
- Guarda
- fatto
- Maggioranza
- make
- gestito
- Margine
- max-width
- misurare
- Media
- forza
- milioni
- ridurre al minimo
- mese
- Scopri di più
- Sicurezza nuda
- NARRATIVA
- Bisogno
- Rete
- mai
- tuttavia
- notizie
- notte
- normale
- segnatamente
- notifica
- numerose
- obiettivo
- of
- MENO
- di frequente
- on
- esclusivamente
- operativa
- Operazioni
- Opinione
- or
- minimo
- Altro
- altrimenti
- nostro
- su
- ancora
- proprio
- PACK
- pagato
- parte
- sentiero
- Paga le
- Pagamento
- permanente
- persona
- Fisico
- posto
- Platone
- Platone Data Intelligence
- PlatoneDati
- posizione
- Post
- pr
- precisamente
- prevenzione
- prezzo
- carcere
- probabilmente
- la percezione
- pubblicare
- pubblicato
- metti
- Interrogato
- rapidamente
- Ransom
- record
- Basic
- regolatore
- normativo
- rilasciare
- rapporto
- risposta
- destra
- Rischio
- Ruolo
- radice
- Sicurezza
- Punto
- Cerca
- Secondo
- problemi di
- sembrava
- sembra
- sequestrati
- anziano
- senso
- condannato
- grave
- risolvere
- Condividi
- affilato
- Shier
- Corti
- abbreviazione
- situazione
- situazioni
- SIX
- piccole
- So
- solido
- alcuni
- velocità
- spendere
- inizia a
- iniziato
- Ancora
- stola
- Interrompe
- Storie
- stress
- Studio
- sospetto
- SVG
- sistema
- Fai
- di
- che
- I
- loro
- Li
- poi
- di
- cosa
- cose
- think
- questo
- questa settimana
- quelli
- anche se?
- minaccia
- tre
- tempo
- a
- pure
- top
- pista
- transizione
- trasparente
- prova
- Turned
- seconda
- tipico
- in definitiva
- Sconosciuto
- a differenza di
- URL
- us
- US Department of Justice
- uso
- utilizzato
- utilizzando
- generalmente
- vario
- Fisso
- verificare
- molto
- via
- Vittima
- volere
- Mandato
- Prima
- Modo..
- we
- settimana
- WELL
- è andato
- sono stati
- Che
- quando
- quale
- while
- informatore
- OMS
- ampiamente
- volere
- desiderando
- con
- entro
- Word
- parole
- Lavora
- lavorato
- peggio
- valore
- sarebbe
- scrittore
- X
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro