Ransomware-historier: MitM-angrepet som virkelig hadde en mann i midten

Ransomware-historier: MitM-angrepet som virkelig hadde en mann i midten

Tidsstempel: 24. mai 2023 1:59
Kilde node: 2674840
by

Det har tatt mer enn fem år før rettferdighet blir forkynt i denne saken, men politiet og domstolene Kom dit til slutt.

Det britiske rettshåndhevelseskontoret SEROCU, forkortelse for Sørøst regional organisert kriminalitetsenhet, rapporterte denne uken særegen fortelling av en Ashley Liles, den bokstavelige mannen i midten som vi refererte til i overskriften.

I disse dager utvider vi vanligvis sjargongbegrepet MITM å mene Manipulator i midten, ikke bare for å unngå det kjønnede begrepet "mann", men også fordi mange, om ikke de fleste, MitM-angrep i disse dager utføres av maskiner.

Noen teknologer har til og med tatt i bruk navnet Maskin i midten, men vi foretrekker "manipulator" fordi vi synes det på en nyttig måte beskriver hvordan denne typen angrep fungerer, og fordi (som denne historien viser) noen ganger virkelig er mennesket, og ikke en maskin, i midten.

MitM forklarte

Et MitM-angrep avhenger av noen eller noe som kan fange opp meldinger som sendes til deg, og endre dem på veien gjennom for å lure deg.

Angriperen endrer vanligvis også svarene dine til den opprinnelige avsenderen, slik at de ikke oppdager bedraget, og blir sugd inn i lureri sammen med deg.

Som du kan forestille deg, er kryptografi en måte å unngå MitM-angrep på, ideen er at hvis dataene er kryptert før de sendes, så kan ikke hvem som helst eller hva som er i midten forstå det i det hele tatt.

Angriperen ville ikke bare trenge å dekryptere meldingene fra hver ende for å finne ut hva de mente, men også å kryptere de modifiserte meldingene på nytt på riktig måte før de sender dem videre, for å unngå oppdagelse og opprettholde forræderiet.

En klassisk, og fatal, MitM-fortelling går tilbake til slutten av 1580-tallet, da spionmestrene til Englands dronning Elizabeth I var i stand til å avskjære og manipulere hemmelig korrespondanse fra Mary, Queen of Scots.

Mary, som var Elizabeths kusine og politiske erkerival, var på den tiden under streng husarrest; hennes hemmelige meldinger ble tilsynelatende smuglet inn og ut i øltønner levert til slottet hvor hun ble arrestert.

Fatally for Mary var dronning Bess' spionmestre ikke bare i stand til å avskjære og lese Marys meldinger, men også å sende forfalskede svar som lokket Mary til å skrive tilstrekkelig med detaljer for å koke sin egen gås, så å si, og avsløre at hun var klar over, og aktivt støttet, et komplott for å få Elizabeth myrdet.

Mary ble dømt til døden og henrettet i 1587.

Spol frem til 2018

Denne gangen var det heldigvis ingen attentatplaner, og England avskaffet dødsstraffen i 1998.

Men denne 21. århundres meldingsavlyttingsforbrytelse var like dristig og så utspekulert som den var enkel.

En bedrift i Oxford, England, like nord for Sophos (vi er 15 km nedover i Abingdon-on-Thames, i tilfelle du lurte) ble rammet av løsepengevare i 2018.

I 2018 hadde vi allerede gått inn i den moderne løsepengevare-æraen, hvor kriminelle bryter seg inn og utpresser hele selskaper om gangen, og ber om enorme pengesummer, i stedet for å gå etter titusenvis av individuelle datamaskineiere for $300 hver.

Det var da den nå dømte gjerningsmannen gikk fra å være en Sysadmin-in-the-affected-Business til en Man-in-the-Middle nettkriminell.

Mens han jobbet med både selskapet og politiet for å håndtere angrepet, snudde gjerningsmannen, Ashely Liles, 28, seg mot sine kolleger ved å:

  • Endre e-postmeldinger fra de originale kjeltringene til sjefene hans, og redigere Bitcoin-adressene som er oppført for utpressingsbetalingen. Liles håpet dermed å avskjære eventuelle betalinger som måtte bli gjort.
  • Spoofing meldinger fra de originale skurkene for å øke presset for å betale. Vi tipper at Liles brukte sin innsidekunnskap til å lage verste scenarioer som ville være mer troverdige enn noen trusler som opprinnelige angripere kunne ha kommet opp med.

Det fremgår ikke av politirapporten nøyaktig hvordan Liles hadde tenkt å utbetale.

Kanskje han bare hadde til hensikt å stikke av med alle pengene og deretter oppføre seg som om krypteringsskurken hadde kuttet og løpt og stukket av med selve kryptomyntene?

Kanskje la han til sitt eget påslag til gebyret og prøvde å forhandle angripernes krav ned, i håp om å klare en massiv lønning for seg selv mens han likevel skaffet seg dekrypteringsnøkkelen, bli en helt i "gjenopprettingsprosessen" og dermed avlede mistanke ?

Feilen i planen

Som det skjedde, ble Liles' skumle plan ødelagt av to ting: selskapet betalte ikke, så det var ingen Bitcoins for ham å avskjære, og hans uautoriserte fikling i selskapets e-postsystem dukket opp i systemloggene.

Politiet arresterte Liles og søkte etter bevis på datautstyret hans, bare for å finne at han hadde tørket datamaskinene, telefonen og en haug med USB-stasjoner noen dager tidligere.

Ikke desto mindre gjenopprettet politiet data fra Liles' ikke-så-blanke-som-han-trodde enheter, og koblet ham direkte til det du kan tenke på som en dobbel utpressing: å prøve å lure arbeidsgiveren sin, samtidig som de lurte svindlerne som hadde allerede svindlet arbeidsgiveren sin.

Spennende nok varte denne saken i fem år, og Liles fastholdt sin uskyld inntil han plutselig bestemte seg for å erkjenne straffskyld i et rettsmøte 2023-05-17.

(Å erklære seg skyldig får en redusert straff, men under gjeldende regelverk reduseres mengden "rabatt", som det er ganske merkelig, men offisielt kjent i England, jo lenger siktede holder ut før de innrømmer at de gjorde det.)

Hva gjør jeg?

Dette er andre innsidetrussel vi har skrevet om denne måneden, så vi gjentar rådet vi ga før:

  • Splitt og hersk. Prøv å unngå situasjoner der individuelle systemadministratorer har uhindret tilgang til alt. Dette gjør det vanskeligere for useriøse ansatte å finne på og utføre "insider"-nettkriminalitet uten å ta med andre mennesker i planene deres, og dermed risikere tidlig eksponering.
  • Hold uforanderlige logger. I dette tilfellet var Liles tilsynelatende ikke i stand til å fjerne bevisene som viste at noen hadde tuklet med andres e-post, noe som førte til arrestasjonen hans. Gjør det så vanskelig du kan for hvem som helst, enten det er insider eller utenforstående, å tukle med den offisielle cyberhistorien din.
  • Mål alltid, anta aldri. Få uavhengig, objektiv bekreftelse på sikkerhetskrav. De aller fleste sysadmins er ærlige, i motsetning til Ashley Liles, men få av dem har 100% rett hele tiden.

    MÅL ALLTID, TA ALDRI

    Har du mangel på tid eller ekspertise til å ta seg av cybersikkerhetstrusselrespons?
    Bekymret for at cybersikkerhet vil ende opp med å distrahere deg fra alle de andre tingene du trenger å gjøre?

    Ta en titt på Sophos Managed Detection and Response:
    24/7 trusseljakt, deteksjon og respons  ▶

    LÆR MER OM Å REAKSE PÅ ANgrep

    Nok en gang til bruddet, kjære venner, nok en gang!

    Peter Mackenzie, Director of Incident Response hos Sophos, snakker om bekjempelse av virkelige nettkriminalitet i en økt som vil alarmere, underholde og utdanne deg, alt i like stor grad. (Full avskrift tilgjengelig.)

    Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.

Tidstempel:

Mer fra Naken sikkerhet