Histórias de ransomware: O ataque MitM que realmente teve um homem no meio

Histórias de ransomware: O ataque MitM que realmente teve um homem no meio

Carimbo de data / hora: 24 de maio de 2023 1h
Nó Fonte: 2674840
by

Levou mais de cinco anos para que a justiça fosse feita neste caso, mas os policiais e os tribunais cheguei lá no final.

O escritório de aplicação da lei do Reino Unido, SEROCU, abreviação de Unidade Regional do Sudeste do Crime Organizado, informou esta semana o conto peculiar de um Ashley Liles, o homem literal no meio a quem nos referimos na manchete.

Hoje em dia, geralmente expandimos o termo jargão Com M significar Manipulador no meio, não apenas para evitar o termo de gênero “homem”, mas também porque muitos, se não a maioria, dos ataques MitM atualmente são executados por máquinas.

Alguns técnicos até adotaram o nome Máquina no meio, mas preferimos "manipulador" porque achamos que descreve de forma útil como esse tipo de ataque funciona e porque (como mostra esta história) às vezes é realmente o homem, e não uma máquina, no meio.

MitM explicou

Um ataque MitM depende de alguém ou algo que possa interceptar as mensagens enviadas a você e modificá-las no caminho para enganá-lo.

O invasor normalmente também modifica suas respostas ao remetente original, para que ele não detecte o engano e seja sugado para o truque junto com você.

Como você pode imaginar, a criptografia é uma maneira de evitar ataques MitM, a ideia é que, se os dados forem criptografados antes de serem enviados, quem ou o que estiver no meio não conseguirá entender nada.

O invasor não precisaria apenas descriptografar as mensagens de cada extremidade para descobrir o que elas significavam, mas também recriptografar as mensagens modificadas corretamente antes de transmiti-las, a fim de evitar a detecção e manter a traição.

Um conto clássico e fatal do MitM remonta ao final da década de 1580, quando os mestres da espionagem da rainha Elizabeth I da Inglaterra conseguiram interceptar e manipular a correspondência secreta de Mary, rainha dos escoceses.

Mary, que era prima de Elizabeth e arquirrival política, estava na época sob estrita prisão domiciliar; suas mensagens secretas foram aparentemente contrabandeadas para dentro e para fora em barris de cerveja entregues no castelo onde ela foi detida.

Fatalmente para Mary, os mestres espiões da Rainha Bess não só foram capazes de interceptar e ler as mensagens de Mary, mas também enviar respostas falsificadas que induziram Mary a colocar detalhes suficientes por escrito para cozinhar seu próprio ganso, por assim dizer, revelando que ela estava ciente de, e apoiou ativamente, uma conspiração para assassinar Elizabeth.

Mary foi condenada à morte e executada em 1587.

Avanço rápido para 2018

Desta vez, felizmente, não houve planos de assassinato, e a Inglaterra aboliu a pena de morte em 1998.

Mas esse crime de interceptação de mensagens do século 21 foi tão audacioso e tortuoso quanto simples.

Uma empresa em Oxford, Inglaterra, ao norte de Sophos (estamos 15 km rio abaixo em Abingdon-on-Thames, caso você esteja se perguntando) foi atingida por um ransomware em 2018.

Em 2018, já havíamos entrado na era contemporânea do ransomware, em que criminosos invadem e chantageiam empresas inteiras de uma só vez, pedindo grandes somas de dinheiro, em vez de perseguir dezenas de milhares de proprietários de computadores individuais por US$ 300 cada.

Foi quando o perpetrador agora condenado deixou de ser um administrador de sistema no negócio afetado para um cibercriminoso man-in-the-middle.

Enquanto trabalhava com a empresa e a polícia para lidar com o ataque, o perpetrador, Ashely Liles, 28, se voltou contra seus colegas:

  • Modificando mensagens de e-mail dos bandidos originais para seus chefes e editando os endereços Bitcoin listados para o pagamento da chantagem. Liles esperava assim interceptar quaisquer pagamentos que pudessem ser feitos.
  • Falsificação de mensagens dos bandidos originais para aumentar a pressão para pagar. Estamos supondo que Liles usou seu conhecimento interno para criar cenários de pior caso que seriam mais verossímeis do que qualquer ameaça que os invasores originais pudessem ter criado.

Não está claro no relatório da polícia exatamente como Liles pretendia sacar.

Talvez ele pretendesse simplesmente fugir com todo o dinheiro e depois agir como se o vigarista da criptografia tivesse fugido com as próprias criptomoedas?

Talvez ele tenha acrescentado sua própria marcação à taxa e tentado negociar a demanda dos invasores, na esperança de liberar um grande dia de pagamento para si mesmo enquanto, no entanto, adquiria a chave de descriptografia, tornando-se um herói no processo de “recuperação” e, assim, desviando as suspeitas ?

A falha no plano

Acontece que o plano covarde de Liles foi arruinado por duas coisas: a empresa não pagou, então não havia Bitcoins para ele interceptar, e sua manipulação não autorizada no sistema de e-mail da empresa apareceu nos logs do sistema.

A polícia prendeu Liles e revistou seu equipamento de computador em busca de evidências, apenas para descobrir que ele havia apagado seus computadores, seu telefone e um monte de drives USB alguns dias antes.

No entanto, os policiais recuperaram dados dos dispositivos não tão vazios de Liles quanto ele pensava, ligando-o diretamente ao que você pode pensar como uma dupla extorsão: tentar enganar seu empregador e, ao mesmo tempo, enganar os golpistas que já estavam enganando seu empregador.

Curiosamente, este caso se arrastou por cinco anos, com Liles mantendo sua inocência até que de repente decidiu se declarar culpado em uma audiência em 2023-05-17.

(Declarar-se culpado resulta em uma sentença reduzida, embora, de acordo com os regulamentos atuais, o valor do “desconto”, como é estranhamente conhecido na Inglaterra, diminui quanto mais tempo o acusado aguenta antes de admitir que o cometeu.)

O que fazer?

Este é o segunda ameaça interna escrevemos sobre este mês, então vamos repetir o conselho que demos antes:

  • Dividir e conquistar. Tente evitar situações em que administradores de sistemas individuais tenham acesso irrestrito a tudo. Isso torna mais difícil para funcionários desonestos inventar e executar crimes cibernéticos “internos” sem cooptar outras pessoas em seus planos e, assim, arriscar uma exposição precoce.
  • Mantenha logs imutáveis. Nesse caso, Liles aparentemente não conseguiu remover as evidências de que alguém havia adulterado o e-mail de outras pessoas, o que levou à sua prisão. Torne o mais difícil possível para qualquer um, seja de dentro ou de fora, adulterar seu ciber-histórico oficial.
  • Meça sempre, nunca assuma. Obtenha confirmação independente e objetiva das reivindicações de segurança. A grande maioria dos administradores de sistema são honestos, ao contrário de Ashley Liles, mas poucos deles estão 100% certos o tempo todo.

    SEMPRE MEÇA, NUNCA ASSUMA

    Falta de tempo ou conhecimento para cuidar da resposta a ameaças de segurança cibernética?
    Preocupado que a segurança cibernética acabe distraindo você de todas as outras coisas que você precisa fazer?

    Dê uma olhada no Sophos Managed Detection and Response:
    Caça, detecção e resposta a ameaças 24 horas por dia, 7 dias por semana  ▶

    SAIBA MAIS SOBRE COMO RESPONDER A ATAQUES

    Mais uma vez até a brecha, queridos amigos, mais uma vez!

    Peter Mackenzie, Diretor de Resposta a Incidentes da Sophos, fala sobre o combate ao cibercrime na vida real em uma sessão que irá alarmar, divertir e educar você, tudo em igual medida. (Transcrição completa acessível.)

    Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.

Carimbo de hora:

Mais de Segurança nua