To nie było twoje typowe cyberwyłudzenie sytuacja.
Ściślej rzecz ujmując, podążał wydeptaną ścieżką, więc w tym sensie wydawał się „typowy” (jeśli wybaczycie użycie tego słowa typowy w kontekście poważnego cyberprzestępstwa), ale nie stało się to w sposób, który prawdopodobnie byś założył na początku.
Począwszy od grudnia 2020 r. przestępczość przebiegała w następujący sposób:
- Napastnik się włamał przez nieznaną lukę w zabezpieczeniach.
- Atakujący uzyskał uprawnienia administratora systemu w sieci.
- Atakujący ukradł gigabajty poufnych danych.
- Atakujący namieszał w dziennikach systemowych aby zatrzeć ślady.
- Atakujący zażądał 50 bitcoinów (wówczas wart około 2,000,000 XNUMX XNUMX $), aby zatuszować sprawę.
- Napastnik otruł ofiarę kiedy szantaż nie został opłacony.
Doxxing, jeśli nie znasz tego terminu, jest skrótem żargonu celowe udostępnianie dokumentów dotyczących osoby lub firmy w celu narażenia ich na szkody fizyczne, finansowe lub inne.
Kiedy cyberprzestępcy atakują osoby, których nie lubią lub z którymi chcą wyrównać rachunki, często chodzi o to, aby narazić ofiarę na ryzyko (lub przynajmniej strach przed) atakiem fizycznym, na przykład poprzez oskarżenie ich o odrażającej zbrodni, życząc im sprawiedliwości obywatelskiej, a następnie mówiąc wszystkim, gdzie mieszkają.
Gdy ofiarą jest firma, zamiarem przestępcy jest zwykle spowodowanie u ofiary stresu operacyjnego, reputacyjnego, finansowego lub regulacyjnego poprzez nie tylko ujawnienie, że firma doznała naruszenia, ale także celowe ujawnienie poufnych informacji, które inni przestępcy mogą od razu nadużyć.
Jeśli postąpisz właściwie i zgłosisz naruszenie lokalnemu regulatorowi, regulator nie zażąda natychmiastowego opublikowania szczegółów, które są równoznaczne z przewodnikiem „jak włamać się do firmy X w tej chwili”. Jeśli później uzna się, że wykorzystana luka w zabezpieczeniach była łatwa do uniknięcia, organ regulacyjny może ostatecznie zdecydować o ukaraniu Cię grzywną za niezapobiegnięcie naruszeniu, ale mimo to będzie z Tobą współpracować od samego początku, aby spróbować zminimalizować szkody i ryzyko.
Podnoś przez własną petardę
Dobra wiadomość w tym przypadku (dobra dla prawa i porządku, choć nie dla sprawcy) jest taka, że ofiara nie była tak łatwowierna, jak wydawało się przestępcy.
Firma-1, jak nazywa ich Departament Sprawiedliwości Stanów Zjednoczonych (DOJ), i my też, mimo że ich tożsamość została szeroko ujawniona w rejestrach publicznych, szybko zaczęło podejrzewać wewnętrzną robotę.
W ciągu trzech miesięcy od rozpoczęcia ataku FBI miało najechał dom byłego-starszego programisty Nickolasa Sharpa, wówczas po trzydziestce, podejrzewając go o bycie sprawcą.
W rzeczywistości Sharp, jako starszy programista w Firmie-1, najwyraźniej „pomagał” (używamy tutaj tego terminu luźno) w „naprawieniu” (jw.) własnego ataku za dnia, próbując jednocześnie wyłudzić 2 miliony dolarów zapłata okupu nocą.
W ramach zatrzymania policjanci przejęli różne urządzenia komputerowe, w tym laptop, którego Sharp użył podczas ataku na własnego pracodawcę, i przesłuchali Sharpa w sprawie jego rzekomej roli w przestępstwie.
Wygląda na to, że Sharp nie tylko powiedział federalnym mnóstwo kłamstw (lub złożył wiele fałszywych zeznań, używając bardziej beznamiętnych słów Departamentu Sprawiedliwości), ale także przeprowadził coś, co można nazwać kontrofensywą PR „fałszywych wiadomości”, najwyraźniej mając nadzieję, że dochodzenie zboczy z toru.
Jako DOJ ujmuje to:
Kilka dni po tym, jak FBI wykonało nakaz przeszukania rezydencji SHARP, SHARP spowodował publikację fałszywych wiadomości na temat incydentu i reakcji Firmy-1 na incydent. W tych historiach SHARP przedstawił się jako anonimowy demaskator w Firmie-1, który pracował nad naprawą incydentu i fałszywie twierdził, że Firma-1 została zhakowana przez niezidentyfikowanego sprawcę, który złośliwie uzyskał dostęp administratora root do kont AWS Firmy-1.
W rzeczywistości, jak dobrze wiedział SHARP, sam SHARP wziął dane Firmy-1 za pomocą poświadczeń, do których miał dostęp, a SHARP wykorzystał te dane w nieudanej próbie wyłudzenia Firmy-1 na miliony dolarów.
Niemal natychmiast po tym, jak pojawiły się wiadomości o naruszeniu danych, cena akcji Spółki-1 spadła bardzo nagle z około 390 USD do około 280 USD.
Chociaż cena mogła znacznie spaść z powodu jakiegokolwiek powiadomienia o naruszeniu, raport Departamentu Sprawiedliwości całkiem rozsądnie sugeruje (choć nie stwierdza jako faktu), że ta fałszywa narracja, rozpowszechniana mediom przez firmę Sharp, pogorszyła dewaluację niż byłoby inaczej.
Sharp przyznał się do winy w lutym 2023 roku; został skazany w tym tygodniu na sześć lat więzienia, a następnie trzy lata na zwolnieniu warunkowym i poinstruowano go, aby zapłacił zwrot nieco ponad 1,500,000 XNUMX XNUMX dolarów.
(Nigdy też nie odzyska żadnego skonfiskowanego sprzętu komputerowego, chociaż nikt nie zgadnie, jak przydatny byłby ten zestaw, gdyby został mu zwrócony po sześciu latach więzienia i kolejnych trzech latach nadzorowanego zwolnienia).
Co robić?
- Dziel i rządź. Staraj się unikać sytuacji, w których poszczególni administratorzy systemu mają nieograniczony dostęp do wszystkiego. Dodatkowy kłopot związany z koniecznością posiadania dwóch niezależnych autoryzacji dla ważnych operacji systemowych to niewielka cena za dodatkowe bezpieczeństwo i kontrolę, które zapewnia.
- Zachowaj niezmienne dzienniki. W tym przypadku Sharp był w stanie namieszać w dziennikach systemowych, próbując ukryć własny dostęp i zamiast tego rzucić podejrzenia na współpracowników. Jednak biorąc pod uwagę szybkość, z jaką został złapany, zakładamy, że Kompania-1 prowadziła przynajmniej kilka dzienników „tylko do zapisu”, które tworzyły trwały, niezaprzeczalny zapis kluczowych działań systemowych.
- Zawsze mierz, nigdy nie zakładaj. Uzyskaj niezależne, obiektywne potwierdzenie roszczeń dotyczących bezpieczeństwa. Zdecydowana większość administratorów systemu jest uczciwa, w przeciwieństwie do Nickolasa Sharpa, ale niewielu z nich ma zawsze 100% racji.
Większość administratorów systemu, których znamy, byłaby zachwycona regularnym dostępem do drugiej opinii w celu zweryfikowania swoich założeń.
Podwójne sprawdzenie krytycznych działań związanych z cyberbezpieczeństwem jest pomocne, a nie przeszkodą, aby upewnić się, że nie tylko zostały poprawnie uruchomione, ale również poprawnie ukończone.
ZAWSZE MIERZ, NIGDY NIE ZAKŁADAJ
Brakuje Ci czasu lub wiedzy, aby zająć się reagowaniem na zagrożenia cyberbezpieczeństwa?
Martwisz się, że cyberbezpieczeństwo odciągnie Cię od wszystkich innych rzeczy, które musisz zrobić?
Przyjrzyj się Sophos Managed Detection and Response:
Całodobowe polowanie na zagrożenia, wykrywanie i reagowanie ▶
DOWIEDZ SIĘ WIĘCEJ O AKTYWNYCH PRZECIWNIKACH
Przeczytaj nasz Poradnik aktywnego przeciwnika.
To fascynujące studium 144 prawdziwych ataków przeprowadzonych przez Sophos Field CTO, Johna Shiera.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/05/12/whodunnit-cybercrook-gets-6-years-for-ransoming-his-own-employer/
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 000
- 1
- 15%
- 2020
- 2023
- 50
- 500
- a
- Zdolny
- O nas
- bezwzględny
- nadużycie
- dostęp
- Konto
- Konta
- nabyty
- w poprzek
- aktywny
- zajęcia
- Dodatkowy
- Po
- Wszystkie kategorie
- rzekomy
- również
- ilość
- an
- i
- Anonimowy
- każdy
- SĄ
- AS
- przypuszczalny
- At
- atakować
- Napadający
- Ataki
- autor
- uprawnienia
- samochód
- uniknąć
- z dala
- AWS
- z powrotem
- background-image
- BE
- być
- jest
- Szantaż
- granica
- Dolny
- naruszenie
- Zepsuł się
- biust
- ale
- by
- wezwanie
- Połączenia
- oprawa ołowiana witrażu
- CAN
- Pojemność
- który
- walizka
- złapany
- powodowany
- Centrum
- twierdził,
- roszczenia
- kolor
- sukcesy firma
- Zakończony
- komputer
- potwierdzenie
- kontekst
- kontrola
- policjanci
- pokrywa
- Stwórz
- Listy uwierzytelniające
- Przestępstwo
- Karny
- przestępcy
- krytyczny
- CTO
- cyberprzestępczość
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- dane
- naruszenie danych
- dzień
- Dni
- grudzień
- zdecydować
- uważane
- zachwycony
- Kreowanie
- zażądał
- Departament
- Ministerstwo Sprawiedliwości
- Departament Sprawiedliwości (DoJ)
- detale
- Wykrywanie
- Dewaluacja
- Deweloper
- urządzenia
- Wyświetlacz
- do
- dokumenty
- DoJ
- dolarów
- nie
- porzucone
- z łatwością
- zakończenia
- sprzęt
- Parzyste
- wszyscy
- wszystko
- przykład
- ekspertyza
- eksploatowany
- fakt
- Failed
- Upadły
- fałszywy
- znajomy
- fascynujący
- fbi
- strach
- luty
- FBI
- kilka
- pole
- budżetowy
- w porządku
- i terminów, a
- następnie
- następujący sposób
- W razie zamówieenia projektu
- utworzony
- od
- dalej
- otrzymać
- dany
- daje
- będzie
- dobry
- poprowadzi
- winny
- łatwowierny
- siekać
- hacked
- miał
- zdarzyć
- Have
- he
- wysokość
- pomoc
- tutaj
- Ukryj
- go
- przeszkoda
- jego
- Otwór
- nadzieję
- unosić
- W jaki sposób
- Jednak
- HTTPS
- Łowiectwo
- pomysł
- zidentyfikowane
- tożsamość
- if
- natychmiast
- niezmienny
- ważny
- in
- incydent
- Włącznie z
- niezależny
- indywidualny
- osób
- Informacja
- zamiast
- zamiar
- najnowszych
- śledztwo
- IT
- żargon
- Praca
- John
- Johna Shiera
- właśnie
- PRAWO
- trzymane
- Klawisz
- zestaw
- Wiedzieć
- laptopa
- później
- Prawo
- najmniej
- lewo
- leży
- lubić
- relacja na żywo
- miejscowy
- Popatrz
- zrobiony
- Większość
- robić
- zarządzane
- Margines
- Maksymalna szerokość
- zmierzyć
- Media
- może
- miliony
- minimalizuje
- miesięcy
- jeszcze
- Nagie bezpieczeństwo
- NARRACJA
- Potrzebować
- sieć
- nigdy
- Niemniej jednak
- aktualności
- noc
- normalna
- szczególnie
- powiadomienie
- liczny
- cel
- of
- poza
- często
- on
- tylko
- operacyjny
- operacje
- Opinia
- or
- zamówienie
- Inne
- Inaczej
- ludzkiej,
- na zewnątrz
- koniec
- własny
- Pakować
- płatny
- część
- ścieżka
- Zapłacić
- płatność
- stały
- osoba
- fizyczny
- Miejsce
- plato
- Analiza danych Platona
- PlatoDane
- position
- Wiadomości
- pr
- precyzyjnie
- zapobieganie
- Cena
- więzienie
- prawdopodobnie
- publiczny
- publikować
- opublikowany
- położyć
- Zapytana
- szybko
- Okup
- rekord
- regularny
- regulator
- regulacyjne
- zwolnić
- raport
- odpowiedź
- prawo
- Ryzyko
- Rola
- korzeń
- Bezpieczeństwo
- wynik
- Szukaj
- druga
- bezpieczeństwo
- wydawało się
- wydaje
- zajęte
- senior
- rozsądek
- skazany
- poważny
- rozstrzygać
- Share
- ostry
- Shier
- Short
- stenografia
- sytuacja
- sytuacje
- SIX
- mały
- So
- solidny
- kilka
- prędkość
- wydać
- początek
- rozpoczęty
- Nadal
- Ukradłem
- Zatrzymuje
- historie
- stres
- Badanie
- podejrzany
- SVG
- system
- Brać
- niż
- że
- Połączenia
- ich
- Im
- następnie
- one
- rzecz
- rzeczy
- myśleć
- to
- w tym tygodniu
- tych
- chociaż?
- groźba
- trzy
- czas
- do
- także
- Top
- śledzić
- przejście
- przezroczysty
- próbować
- Obrócony
- drugiej
- typowy
- Ostatecznie
- nieznany
- w odróżnieniu
- URL
- us
- Amerykański Departament Sprawiedliwości
- posługiwać się
- używany
- za pomocą
- zazwyczaj
- różnorodny
- Naprawiono
- zweryfikować
- początku.
- przez
- Ofiara
- chcieć
- Nakaz
- była
- Droga..
- we
- tydzień
- DOBRZE
- poszedł
- były
- Co
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- Informator
- KIM
- szeroko
- będzie
- życzyć
- w
- w ciągu
- słowo
- słowa
- Praca
- pracował
- gorzej
- wartość
- by
- pisarz
- X
- lat
- ty
- Twój
- zefirnet