Este não era o seu típico ciberextorsão situação.
Mais precisamente, ele seguiu o que você pode pensar como um caminho bem usado, então nesse sentido ele soou como “típico” (com o perdão do uso da palavra típico no contexto de um crime cibernético grave), mas não aconteceu da maneira que você provavelmente teria imaginado a princípio.
A partir de dezembro de 2020, o crime se desenrolou da seguinte forma:
- Atacante invadiu através de uma falha de segurança desconhecida.
- O invasor adquiriu poderes de administrador de sistema na rede.
- Atacante roubou gigabytes de dados confidenciais.
- O invasor mexeu nos logs do sistema para cobrir seus rastros.
- Atacante exigiu 50 Bitcoins (então valendo cerca de $ 2,000,000) para abafar as coisas.
- Agressor doxxed a vítima quando a chantagem não foi paga.
doxxing, se você não estiver familiarizado com o termo, é um jargão abreviado para divulgar deliberadamente documentos sobre uma pessoa ou empresa para colocá-los em risco de danos físicos, financeiros ou outros.
Quando os cibercriminosos denunciam indivíduos de quem não gostam ou com quem têm contas a acertar, muitas vezes a ideia é colocar a vítima em risco (ou pelo menos com medo de) de um ataque físico, por exemplo, acusando eles de um crime hediondo, desejando justiça vigilante sobre eles e, em seguida, contando a todos onde eles moram.
Quando a vítima é uma empresa, a intenção criminosa geralmente é criar estresse operacional, reputacional, financeiro ou regulatório para a vítima, não apenas expondo que a empresa sofreu uma violação em primeiro lugar, mas também divulgando deliberadamente informações confidenciais que outros criminosos podem abusar imediatamente.
Se você fizer a coisa certa e relatar uma violação ao seu regulador local, o regulador não exigirá que você publique imediatamente detalhes que equivalem a um guia sobre “como invadir a empresa X agora mesmo”. Se a falha de segurança explorada for posteriormente considerada facilmente evitável, o regulador pode decidir multá-lo por não impedir a violação, mas, no entanto, trabalhará com você desde o início para tentar minimizar os danos e riscos.
Içar por seu próprio petardo
A boa notícia neste caso (boa para a lei e a ordem, embora não para o perpetrador) é que a vítima não era tão ingênua quanto o criminoso parecia pensar.
Empresa-1, como o Departamento de Justiça dos EUA (DOJ) os chama e nós também, embora sua identidade tenha sido amplamente divulgada no registro público, rapidamente parecia ter suspeitado de um trabalho interno.
Três meses após o início do ataque, o FBI havia invadiu a casa do futuro ex-codificador sênior Nickolas Sharp, então com 30 e poucos anos, suspeitando que ele fosse o perpetrador.
Na verdade, Sharp, em sua qualidade de desenvolvedor sênior na Company-1, aparentemente estava “ajudando” (usamos o termo vagamente aqui) a “remediar” (idem) seu próprio ataque durante o dia, enquanto tentava extorquir US$ 2 milhões pagamento de resgate à noite.
Como parte da apreensão, os policiais apreenderam vários dispositivos de computador, incluindo o que acabou sendo o laptop que Sharp usou ao atacar seu próprio empregador, e questionaram Sharp sobre seu suposto papel no crime.
Sharp, ao que parece, não apenas contou aos federais um monte de mentiras (ou fez inúmeras declarações falsas, nas palavras mais desapaixonadas do DOJ), mas também fez o que você pode chamar de contra-ofensiva de relações públicas de “notícias falsas”, aparentemente esperando desviar a investigação dos trilhos.
Como DOJ coloca:
Vários dias depois que o FBI executou o mandado de busca na residência do SHARP, o SHARP fez com que notícias falsas fossem publicadas sobre o Incidente e a resposta da Empresa-1 ao Incidente. Nessas histórias, SHARP se identificou como um denunciante anônimo dentro da Empresa-1 que havia trabalhado para remediar o Incidente e alegou falsamente que a Empresa-1 havia sido hackeada por um perpetrador não identificado que adquiriu de forma maliciosa acesso de administrador raiz às contas da AWS da Empresa-1.
Na verdade, como o SHARP bem sabia, o próprio SHARP havia obtido os dados da Empresa-1 usando credenciais às quais ele tinha acesso, e o SHARP havia usado esses dados em uma tentativa fracassada de extorquir a Empresa-1 em milhões de dólares.
Quase imediatamente após a divulgação da notícia sobre a violação de dados, o preço das ações da Empresa-1 caiu repentinamente de cerca de US$ 390 para cerca de US$ 280.
Embora o preço possa ter caído notavelmente devido a qualquer tipo de notificação de violação, o relatório do DOJ implica razoavelmente (embora não chegue a afirmar como um fato) que essa narrativa falsa, divulgada à mídia pela Sharp, piorou a desvalorização. do que de outra forma teria sido.
Sharp se declarou culpado em fevereiro de 2023; ele foi condenado esta semana a seis anos de prisão, seguidos de três anos em liberdade condicional, e instruído a pagar uma restituição de pouco mais de $ 1,500,000.
(Ele também nunca vai recuperar nenhum de seus equipamentos de computador confiscados, embora o quão útil esse kit ainda seria se fosse devolvido a ele depois de seis anos na prisão e mais três anos em liberdade supervisionada é uma incógnita.)
O que fazer?
- Dividir e conquistar. Tente evitar situações em que administradores de sistemas individuais tenham acesso irrestrito a tudo. O incômodo adicional de exigir duas autorizações independentes para operações importantes do sistema é um pequeno preço a pagar pela segurança e controle adicionais que ele oferece.
- Mantenha logs imutáveis. Nesse caso, Sharp conseguiu mexer nos logs do sistema na tentativa de ocultar seu próprio acesso e, em vez disso, lançar suspeitas sobre os colegas de trabalho. Dada a velocidade com que ele foi pego, no entanto, estamos assumindo que a Empresa-1 manteve pelo menos alguns logs “somente gravação” que formavam um registro permanente e inegável das principais atividades do sistema.
- Meça sempre, nunca assuma. Obtenha confirmação independente e objetiva das reivindicações de segurança. A grande maioria dos administradores de sistema é honesta, ao contrário de Nickolas Sharp, mas poucos deles estão 100% certos o tempo todo.
A maioria dos administradores de sistemas que conhecemos ficaria encantada em ter acesso regular a uma segunda opinião para verificar suas suposições.
É uma ajuda, não um obstáculo, ter o trabalho crítico de segurança cibernética verificado duas vezes para garantir não apenas que foi iniciado corretamente, mas também concluído corretamente.
SEMPRE MEÇA, NUNCA ASSUMA
Falta de tempo ou conhecimento para cuidar da resposta a ameaças de segurança cibernética?
Preocupado que a segurança cibernética acabe distraindo você de todas as outras coisas que você precisa fazer?
Dê uma olhada no Sophos Managed Detection and Response:
Caça, detecção e resposta a ameaças 24 horas por dia, 7 dias por semana ▶
SAIBA MAIS SOBRE ADVERSÁRIOS ATIVOS
Leia o nosso Manual do adversário ativo.
Este é um estudo fascinante de 144 ataques da vida real do CTO da Sophos Field, John Shier.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/05/12/whodunnit-cybercrook-gets-6-years-for-ransoming-his-own-employer/
- :tem
- :é
- :não
- :onde
- $UP
- 000
- 1
- 15%
- 2020
- 2023
- 50
- 500
- a
- Capaz
- Sobre
- absoluto
- abuso
- Acesso
- Conta
- Contas
- adquirido
- em
- ativo
- atividades
- Adicional
- Depois de
- Todos os Produtos
- alegado
- tb
- quantidade
- an
- e
- Anônimo
- qualquer
- SOMOS
- AS
- assumiu
- At
- ataque
- Atacante
- Ataques
- autor
- autorizações
- auto
- evitar
- longe
- AWS
- em caminho duplo
- background-image
- BE
- sido
- ser
- Chantagem
- fronteira
- Inferior
- violação
- Quebrou
- busto
- mas a
- by
- chamada
- chamadas
- veio
- CAN
- Capacidade
- Cuidado
- casas
- apanhados
- causado
- Centralização de
- afirmou
- reivindicações
- cor
- Empresa
- Efetuado
- computador
- confirmação
- contexto
- ao controle
- policiais
- cobrir
- crio
- Credenciais
- Crime
- Criminal
- Os criminosos
- crítico
- CTO
- cibercrime
- cibercriminosos
- Cíber segurança
- dados,
- violação de dados
- dia
- dias
- Dezembro
- decidir
- considerado
- Deleitado
- Demanda
- exigiam
- Departamento
- Departamento de Justiça
- Departamento de Justiça (DoJ)
- detalhes
- Detecção
- Desvalorização
- Developer
- Dispositivos/Instrumentos
- Ecrã
- do
- INSTITUCIONAIS
- DoJ
- dólares
- não
- desistiu
- facilmente
- final
- equipamento
- Mesmo
- todos
- tudo
- exemplo
- experiência
- exploradas
- fato
- fracassado
- Caído
- falso
- familiar
- fascinante
- fbi
- medo
- Fevereiro
- Feds
- poucos
- campo
- financeiro
- final
- Primeiro nome
- seguido
- segue
- Escolha
- formado
- da
- mais distante
- ter
- dado
- dá
- vai
- Bom estado, com sinais de uso
- guia
- culpado
- crédulo
- cortar
- hackeado
- tinha
- acontecer
- Ter
- he
- altura
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Esconder
- ele
- obstáculo
- sua
- Buraco
- esperando
- pairar
- Como funciona o dobrador de carta de canal
- Contudo
- HTTPS
- Caça
- idéia
- identificado
- Dados de identificação:
- if
- imediatamente
- imutável
- importante
- in
- incidente
- Incluindo
- de treinadores em Entrevista Motivacional
- Individual
- indivíduos
- INFORMAÇÕES
- em vez disso
- intenção
- para dentro
- investigação
- IT
- jargão
- Trabalho
- banheiro
- John Shier
- apenas por
- Justiça
- manteve
- Chave
- de emergência
- Saber
- laptop
- mais tarde
- Escritórios de
- mínimo
- esquerda
- encontra-se
- como
- viver
- local
- olhar
- moldadas
- Maioria
- fazer
- gerenciados
- Margem
- max-width
- a medida
- Mídia
- poder
- milhões
- Minimiza
- mês
- mais
- Segurança nua
- NARRATIVA
- você merece...
- rede
- nunca
- mesmo assim
- notícias
- noite
- normal
- notavelmente
- notificação
- numeroso
- objetivo
- of
- WOW!
- frequentemente
- on
- só
- operacional
- Operações
- Opinião
- or
- ordem
- Outros
- de outra forma
- A Nossa
- Fora
- Acima de
- próprio
- Pack
- pago
- parte
- caminho
- Pagar
- pagamento
- permanente
- pessoa
- físico
- Lugar
- platão
- Inteligência de Dados Platão
- PlatãoData
- posição
- POSTAGENS
- pr
- justamente
- impedindo
- preço
- prisão
- provavelmente
- público
- publicar
- publicado
- colocar
- Questionado
- rapidamente
- Resgate
- registro
- regular
- regulador
- reguladores
- liberar
- Denunciar
- resposta
- certo
- Risco
- Tipo
- raiz
- Segurança
- Ponto
- Pesquisar
- Segundo
- segurança
- parecia
- parece
- apreendidos
- senior
- sentido
- condenado
- grave
- resolver
- Partilhar
- afiado
- Shier
- Baixo
- forma abreviada
- situação
- situações
- SIX
- pequeno
- So
- sólido
- alguns
- velocidade
- gastar
- começo
- começado
- Ainda
- roubou
- Pára
- Histórias
- estresse
- Estudo
- suspeita
- SVG
- .
- Tire
- do que
- que
- A
- deles
- Eles
- então
- deles
- coisa
- coisas
- think
- isto
- esta semana
- aqueles
- Apesar?
- ameaça
- três
- tempo
- para
- também
- topo
- pista
- transição
- transparente
- tentar
- Virado
- dois
- típico
- Em última análise
- desconhecido
- ao contrário
- URL
- us
- Departamento de Justiça dos EUA
- usar
- usava
- utilização
- geralmente
- vário
- Grande
- verificar
- muito
- via
- Vítima
- queremos
- Garantia
- foi
- Caminho..
- we
- semana
- BEM
- fui
- foram
- O Quê
- quando
- qual
- enquanto
- Denunciante
- QUEM
- largamente
- precisarão
- desejando
- de
- dentro
- Word
- palavras
- Atividades:
- trabalhou
- pior
- Equivalente há
- seria
- escritor
- X
- anos
- Você
- investimentos
- zefirnet