Verhalen over ransomware: de MitM-aanval die echt een man in het midden had

Verhalen over ransomware: de MitM-aanval die echt een man in het midden had

Tijdstempel: 24 mei 2023 1:59 uur
Bronknooppunt: 2674840
by

Het heeft in deze zaak meer dan vijf jaar geduurd voordat gerechtigheid geschiedde, behalve de politie en de rechtbanken daar aangekomen uiteindelijk.

Het Britse wetshandhavingsbureau SEROCU, afkorting van Zuidoost-regionale eenheid georganiseerde misdaad, meldde deze week de eigenaardig verhaal van ene Ashley Liles, de letterlijke man in het midden naar wie we in de kop verwezen.

Tegenwoordig breiden we de term jargon meestal uit MitM te betekenen Manipulator in het midden, niet alleen om de gendergerelateerde term 'man' te vermijden, maar ook omdat veel, zo niet de meeste, MitM-aanvallen tegenwoordig door machines worden uitgevoerd.

Sommige techneuten hebben de naam zelfs overgenomen Machine in het midden, maar we geven de voorkeur aan "manipulator" omdat we denken dat het een nuttige beschrijving geeft van hoe dit soort aanvallen werkt, en omdat (zoals dit verhaal laat zien) het soms echt de mens is, en niet een machine, in het midden.

MitM uitgelegd

Een MitM-aanval is afhankelijk van iets of iemand die berichten kan onderscheppen die naar u zijn verzonden en deze onderweg kan wijzigen om u te misleiden.

De aanvaller past doorgaans ook uw antwoorden aan de oorspronkelijke afzender aan, zodat deze het bedrog niet opmerkt en samen met u in het bedrog wordt meegezogen.

Zoals je je kunt voorstellen, is cryptografie een manier om MitM-aanvallen te voorkomen, met het idee dat als de gegevens worden versleuteld voordat ze worden verzonden, wie of wat er ook tussen zit, er helemaal niets van kan begrijpen.

De aanvaller zou niet alleen de berichten van beide kanten moeten decoderen om erachter te komen wat ze betekenen, maar ook de gewijzigde berichten correct opnieuw moeten coderen voordat ze worden doorgestuurd, om detectie te voorkomen en het verraad in stand te houden.

Een klassiek en fataal MitM-verhaal dateert uit de late jaren 1580, toen spionnenmeesters van de Engelse koningin Elizabeth I in staat waren om geheime correspondentie van Mary, Queen of Scots, te onderscheppen en te manipuleren.

Mary, die Elizabeths neef en politieke aartsrivaal was, stond destijds onder strikt huisarrest; haar geheime boodschappen werden blijkbaar in en uit biervaten gesmokkeld die werden afgeleverd bij het kasteel waar ze werd vastgehouden.

Dodelijk voor Mary waren de spymasters van koningin Bess niet alleen in staat om Mary's berichten te onderscheppen en te lezen, maar ook om vervalste antwoorden te sturen die Mary ertoe brachten voldoende details op schrift te stellen om als het ware haar eigen gans te koken, waaruit bleek dat ze op de hoogte was van, en actief gesteund, een complot om Elizabeth te laten vermoorden.

Mary werd ter dood veroordeeld en geëxecuteerd in 1587.

Snel vooruit naar 2018

Deze keer waren er gelukkig geen moordplannen en schafte Engeland de doodstraf in 1998 af.

Maar deze onderscheppingsmisdaad uit de 21e eeuw was even gedurfd en sluw als eenvoudig.

Een bedrijf in Oxford, Engeland, net ten noorden van Sophos (we zitten 15 km stroomafwaarts in Abingdon-on-Thames, mocht je het je afvragen) werd in 2018 getroffen door ransomware.

In 2018 waren we al het hedendaagse ransomware-tijdperk binnengetreden, waarin criminelen hele bedrijven tegelijk binnendringen en chanteren en om enorme sommen geld vragen, in plaats van achter tienduizenden individuele computerbezitters aan te gaan voor $ 300 per stuk.

Op dat moment veranderde de nu veroordeelde dader van een sysadmin-in-the-affected-business in een man-in-the-middle-cybercrimineel.

Terwijl hij samenwerkte met zowel het bedrijf als de politie om de aanval af te handelen, keerde de dader, Ashely Liles, 28, zich tegen zijn collega's door:

  • Het wijzigen van e-mailberichten van de oorspronkelijke boeven aan zijn bazen en het bewerken van de Bitcoin-adressen die zijn vermeld voor de chantagebetaling. Liles hoopte daarmee eventuele betalingen te onderscheppen.
  • Spoofing van berichten van de oorspronkelijke boeven om de druk om te betalen te vergroten. We vermoeden dat Liles zijn voorkennis gebruikte om worst-case scenario's te creëren die geloofwaardiger zouden zijn dan alle bedreigingen die de oorspronkelijke aanvallers hadden kunnen bedenken.

Het is niet duidelijk uit het politierapport hoe Liles precies wilde uitbetalen.

Misschien was hij gewoon van plan om er met al het geld vandoor te gaan en vervolgens te doen alsof de coderingsboef het had uitgemaakt en was ondergedoken met de cryptomunten zelf?

Misschien voegde hij zijn eigen opslag toe aan de vergoeding en probeerde hij de eis van de aanvallers te verlagen, in de hoop een enorme betaaldag voor zichzelf vrij te maken en toch de decoderingssleutel te bemachtigen, een held te worden in het 'herstel'-proces en daarmee de verdenking af te wenden. ?

De fout in het plan

Toevallig werd het gemene plan van Liles geruïneerd door twee dingen: het bedrijf betaalde niet, dus er waren geen Bitcoins die hij kon onderscheppen, en zijn ongeoorloofde gehannes in het e-mailsysteem van het bedrijf verscheen in de systeemlogboeken.

De politie arresteerde Liles en doorzocht zijn computerapparatuur op bewijs, maar ontdekte dat hij een paar dagen eerder zijn computers, zijn telefoon en een aantal USB-drives had gewist.

Desalniettemin heeft de politie gegevens teruggevonden van Liles' niet-zo-lege-als-hij-dacht-apparaten, waardoor hij direct in verband werd gebracht met wat je kunt zien als een dubbele afpersing: proberen zijn werkgever op te lichten, terwijl hij tegelijkertijd de oplichters oplichtte die waren zijn werkgever al aan het oplichten.

Intrigerend genoeg sleepte deze zaak zich vijf jaar voort, waarbij Liles zijn onschuld volhield totdat hij plotseling besloot schuld te bekennen tijdens een hoorzitting op 2023/05/17.

(Schuldig bekennen levert strafvermindering op, hoewel volgens de huidige regelgeving de hoeveelheid "korting", zoals het nogal vreemd maar officieel bekend is in Engeland, afneemt naarmate de beschuldigde het langer volhoudt voordat hij toegeeft dat hij het heeft gedaan.)

Wat te doen?

Dit is de tweede bedreiging van binnenuit we hebben over deze maand geschreven, dus we herhalen het advies dat we eerder gaven:

  • Verdeel en heers. Probeer situaties te vermijden waarin individuele systeembeheerders onbelemmerde toegang hebben tot alles. Dit maakt het moeilijker voor malafide werknemers om "inside" cybercriminaliteit te verzinnen en uit te voeren zonder andere mensen bij hun plannen te betrekken, en zo het risico te lopen vroegtijdig te worden blootgesteld.
  • Houd onveranderlijke logboeken bij. In dit geval was Liles blijkbaar niet in staat om het bewijs te verwijderen waaruit bleek dat iemand met andermans e-mail had geknoeid, wat leidde tot zijn arrestatie. Maak het iedereen, of het nu een insider of een buitenstaander is, zo moeilijk mogelijk om met uw officiële cybergeschiedenis te knoeien.
  • Altijd meten, nooit aannemen. Krijg onafhankelijke, objectieve bevestiging van beveiligingsclaims. De overgrote meerderheid van systeembeheerders is eerlijk, in tegenstelling tot Ashley Liles, maar slechts weinigen hebben altijd 100% gelijk.

    ALTIJD METEN, NOOIT AANNEMEN

    Weinig tijd of expertise om te zorgen voor de respons op cyberbeveiligingsdreigingen?
    Bezorgd dat cyberbeveiliging u uiteindelijk zal afleiden van alle andere dingen die u moet doen?

    Kijk eens naar Sophos Managed Detection and Response:
    24/7 jacht op bedreigingen, detectie en reactie  ▶

    MEER INFORMATIE OVER REAGEREN OP AANVALLEN

    Nog een keer tot aan de bres, lieve vrienden, nog een keer!

    Peter Mackenzie, Director of Incident Response bij Sophos, vertelt over real-life bestrijding van cybercriminaliteit in een sessie die je zal alarmeren, amuseren en onderwijzen, allemaal in gelijke mate. (Volledig transcript beschikbaar.)

    Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.

Tijdstempel:

Meer van Naakte beveiliging