Povești cu ransomware: Atacul MitM care a avut cu adevărat un om la mijloc

Povești cu ransomware: Atacul MitM care a avut cu adevărat un om la mijloc

Marca temporală: 24 mai 2023 1:59
Nodul sursă: 2674840
by

A fost nevoie de mai mult de cinci ani pentru ca justiția să fie făcută în acest caz, dar polițiștii și instanțele am ajuns acolo la sfarsit.

Biroul de aplicare a legii din Marea Britanie SEROCU, prescurtare pentru Unitatea Regională de Crimă Organizată Sud-Est, în această săptămână a raportat poveste ciudată a uneia Ashley Liles, omul literal din mijloc la care ne-am referit în titlu.

În zilele noastre, de obicei extindem termenul de jargon MitM a insemna Manipulator la mijloc, nu doar pentru a evita termenul de gen „om”, ci și pentru că multe, dacă nu cele mai multe, atacurile MitM în zilele noastre sunt efectuate de mașini.

Unii tehnicieni au adoptat chiar numele Mașină în mijloc, dar preferăm „manipulatorul” pentru că considerăm că descrie util modul în care funcționează acest tip de atac și pentru că (după cum arată această poveste) uneori este omul, și nu o mașină, la mijloc.

a explicat MitM

Un atac MitM depinde de cineva sau ceva care poate intercepta mesajele trimise către dvs. și le poate modifica pe parcurs pentru a vă înșela.

Atacatorul modifică, de obicei, răspunsurile tale către expeditorul inițial, astfel încât să nu detecteze înșelăciunea și să fie absorbit de șmecherie împreună cu tine.

După cum vă puteți imagina, criptografia este o modalitate de a evita atacurile MitM, ideea fiind că, dacă datele sunt criptate înainte de a fi trimise, atunci oricine sau orice se află în mijloc nu poate înțelege deloc.

Atacatorul nu ar trebui doar să decripteze mesajele de la fiecare capăt pentru a-și da seama ce înseamnă, ci și să recripteze corect mesajele modificate înainte de a le transmite, pentru a evita detectarea și a menține trădarea.

O poveste clasică și fatală MitM datează de la sfârșitul anilor 1580, când stăpânii spionilor reginei Elisabeta I a Angliei au reușit să intercepteze și să manipuleze corespondența secretă de la Mary, regina Scoției.

Mary, care era verișoara lui Elisabeta și arhi-rivalul politic, era la acea vreme în arest strict la domiciliu; mesajele ei secrete se pare că au fost introduse și ieșite ilegal în butoaie de bere livrate la castelul unde a fost reținută.

Fatal pentru Mary, stăpânii reginei Bess nu numai că au putut să intercepteze și să citească mesajele Mariei, ci și să trimită răspunsuri falsificate care au atras-o pe Mary să pună suficiente detalii în scris pentru a-și găti propria gâscă, așa cum ar fi, dezvăluind că ea cunoștea, și sprijinit activ, un complot pentru asasinarea Elisabetei.

Maria a fost condamnată la moarte și executată în 1587.

Rapid înainte până în 2018

De data aceasta, din fericire, nu au existat planuri de asasinat, iar Anglia a abolit pedeapsa cu moartea în 1998.

Dar această crimă de interceptare a mesajelor din secolul al XXI-lea a fost pe cât de îndrăzneață și pe cât de periculoasă, pe atât de simplă.

O afacere din Oxford, Anglia, chiar la nord de Sophos (ne aflăm la 15 km în aval în Abingdon-on-Thames, în caz că vă întrebați) a fost lovită de ransomware în 2018.

Până în 2018, intrasem deja în era contemporană a ransomware-ului, în care infractorii pătrund și șantajează companii întregi la un moment dat, cerând sume uriașe de bani, în loc să caute zeci de mii de proprietari individuali de computere pentru 300 de dolari fiecare.

Atunci făptuitorul acum condamnat a trecut de la a fi administrator de sistem în afacerea afectată la infractor cibernetic Man-in-the-Middle.

În timp ce lucra atât cu compania, cât și cu poliția pentru a face față atacului, făptuitorul, Ashely Liles, 28 de ani, s-a întors împotriva colegilor săi prin:

  • Modificarea mesajelor de e-mail de la escrocii originali către șefii săi și editarea adreselor Bitcoin listate pentru plata șantajului. Prin urmare, Liles spera să intercepteze orice plăți care ar putea fi făcute.
  • Falsificarea mesajelor de la escrocii originali pentru a crește presiunea de a plăti. Bănuim că Liles și-a folosit cunoștințele din interior pentru a crea scenarii mai defavorabile care ar fi mai credibile decât orice amenințări cu care ar fi putut veni atacatorii inițiali.

Din raportul poliției nu este clar cum intenționa Liles să încaseze.

Poate că intenționa pur și simplu să fugă cu toți banii și apoi să se comporte ca și cum escroc de criptare ar fi tăiat și fugit și a fugit cu criptomonedele în sine?

Poate că și-a adăugat propriul markup la taxă și a încercat să negocieze în jos cererea atacatorilor, în speranța de a-și compensa o zi de plată masivă pentru el însuși, obținând totuși cheia de decriptare, devenind un erou în procesul de „recuperare” și, prin urmare, deturnând suspiciunea. ?

Defectul în plan

După cum s-a întâmplat, planul nenorocit al lui Liles a fost stricat de două lucruri: compania nu a plătit, așa că nu erau Bitcoin pe care să-l intercepteze, iar jocul lui neautorizat în sistemul de e-mail al companiei a apărut în jurnalele de sistem.

Poliția l-a arestat pe Liles și i-a percheziționat echipamentul informatic pentru a găsi dovezi, doar pentru a descoperi că el și-a șters computerele, telefonul și o grămadă de unități USB cu câteva zile mai devreme.

Cu toate acestea, polițiștii au recuperat date de pe dispozitivele lui Liles, care nu erau atât de goale pe cât credea el, legându-l direct de ceea ce poți considera o dublă extorcare: încercarea de a-și înșela angajatorul, în timp ce în același timp i-a înșelat pe escrocii care își înșelau deja angajatorul.

În mod intrigant, acest caz a durat cinci ani, Liles menținându-și nevinovăția până când a decis brusc să pledeze vinovat într-o ședință de judecată din 2023-05-17.

(A pledează vinovat câștigă o pedeapsă redusă, deși, conform reglementărilor actuale, valoarea „reducerii”, așa cum este destul de ciudat, dar oficial cunoscută în Anglia, scade cu cât acuzatul rezistă mai mult înainte de a admite că a făcut-o.)

Ce să fac?

Aceasta este a doua amenințare internă am scris despre luna aceasta, așa că vom repeta sfaturile pe care le-am dat înainte:

  • Diviza și cuceri. Încercați să evitați situațiile în care administratorii de sistem individuali au acces nelimitat la toate. Acest lucru îngreunează angajații necinstiți să inventeze și să execute infracțiuni cibernetice „din interior” fără a-i coopta pe alți oameni în planurile lor și, astfel, riscând expunerea timpurie.
  • Păstrați jurnalele imuabile. În acest caz, se pare că Liles nu a putut elimina dovezile care arătau că cineva a manipulat e-mailul altor persoane, ceea ce a dus la arestarea sa. Faceți cât de greu puteți pentru oricine, din interior sau din exterior, să modifice istoria dumneavoastră cibernetică oficială.
  • Măsurați întotdeauna, nu presupuneți niciodată. Obțineți o confirmare independentă și obiectivă a revendicărilor de securitate. Marea majoritate a administratorilor de sistem sunt sinceri, spre deosebire de Ashley Liles, dar puțini dintre ei au dreptate 100% tot timpul.

    MĂSORAȚI ÎNTOTDEAUNA, NU ASUPIA NICIODATĂ

    Nu aveți timp sau experiență pentru a vă ocupa de răspunsul la amenințările de securitate cibernetică?
    Vă faceți griji că securitatea cibernetică vă va distrage atenția de la toate celelalte lucruri pe care trebuie să le faceți?

    Aruncă o privire la Sophos Managed Detection and Response:
    Vânătoarea, detectarea și răspunsul amenințărilor 24/7  ▶

    AFLĂ MAI MULTE DESPRE RĂSPUNSUL LA ATACURI

    Încă o dată la breșă, dragi prieteni, încă o dată!

    Peter Mackenzie, Director of Incident Response la Sophos, vorbește despre combaterea criminalității cibernetice din viața reală într-o sesiune care vă va alarma, vă va amuza și vă va educa, totul în egală măsură. (Transcriere completă disponibil.)

    Faceți clic și trageți pe undele sonore de mai jos pentru a trece la orice punct. Poti de asemenea asculta direct pe Soundcloud.

Timestamp-ul:

Mai mult de la Securitate goală