Истории о программах-вымогателях: атака MitM, в которой действительно был человек посередине

Правосудие по этому делу восторжествовало более пяти лет, но копы и суды получил там в конце.

Правоохранительные органы Великобритании SEROCU, сокращение от Юго-восточное региональное подразделение по борьбе с организованной преступностью, на этой неделе сообщил своеобразная сказка некоего Эшли Лайлза, буквально Человека посередине, которого мы упомянули в заголовке.

В наши дни мы обычно расширяем жаргонный термин MitM значить Манипулятор посередине, не только для того, чтобы избежать гендерного термина «мужчина», но и потому, что многие, если не большинство, атак MitM в наши дни выполняются машинами.

Некоторые технари даже приняли название Машина посередине, но мы предпочитаем «манипулятор», потому что мы считаем, что оно полезно описывает, как работает такая атака, и потому что (как показывает эта история) иногда действительно человек, а не машина, находится в середине.

МитМ объяснил

Атака MitM зависит от кого-то или чего-то, что может перехватить отправленные вам сообщения и изменить их по пути, чтобы обмануть вас.

Злоумышленник, как правило, также изменяет ваши ответы первоначальному отправителю, чтобы он не заметил обман и не попал в ловушку вместе с вами.

Как вы понимаете, криптография — это один из способов избежать MitM-атак. Идея заключается в том, что если данные зашифрованы до их отправки, то кто-то или что-то, кто находится посередине, вообще не сможет их понять.

Злоумышленнику нужно будет не только расшифровать сообщения с каждого конца, чтобы выяснить, что они означают, но и правильно повторно зашифровать измененные сообщения перед их передачей, чтобы избежать обнаружения и сохранить предательство.

Одна классическая и фатальная история MitM восходит к концу 1580-х годов, когда мастерам шпионажа английской королевы Елизаветы I удалось перехватить и манипулировать секретной корреспонденцией Марии, королевы Шотландии.

Мэри, двоюродная сестра Елизаветы и политическая соперница, в то время находилась под строгим домашним арестом; ее секретные сообщения, по-видимому, ввозились и вывозились контрабандой в пивных бочках, доставленных в замок, где она содержалась.

К несчастью для Марии, шпионы королевы Бесс смогли не только перехватить и прочитать сообщения Марии, но и отправить фальсифицированные ответы, которые заманили Мэри написать достаточно подробностей, чтобы приготовить себе гуся, так сказать, показывая, что она знала о, и активно поддерживал заговор с целью убийства Элизабет.

Мария была приговорена к смертной казни и казнена в 1587 году.

Перенесемся в 2018

На этот раз, к счастью, планов покушения не было, а в 1998 году Англия отменила смертную казнь.

Но это преступление по перехвату сообщений в 21 веке было столь же дерзким и изощренным, сколь и простым.

Бизнес в Оксфорде, Англия, к северу от Софоса (мы находимся в 15 км вниз по реке в Абингдоне-на-Темзе, если вам интересно) пострадал от программы-вымогателя в 2018 году.

К 2018 году мы уже вступили в эру современных программ-вымогателей, когда преступники взламывают целые компании и шантажируют их одновременно, требуя огромные суммы денег, вместо того, чтобы преследовать десятки тысяч отдельных владельцев компьютеров по 300 долларов за каждого.

Именно тогда ныне осужденный преступник превратился из системного администратора в пострадавшем бизнесе в киберпреступника «человек посередине».

Работая как с компанией, так и с полицией, чтобы справиться с нападением, преступник, 28-летняя Эшли Лайлз, напала на своих коллег:

• Изменение сообщений электронной почты от первоначальных мошенников его боссам и редактирование биткойн-адресов, перечисленных для платежа за шантаж. Таким образом, Лайлз надеялся перехватить любые платежи, которые могли быть сделаны.
• Подделка сообщений от первоначальных мошенников, чтобы увеличить давление, чтобы заплатить. Мы предполагаем, что Лайлз использовал свои инсайдерские знания для создания наихудших сценариев, которые были бы более правдоподобными, чем любые угрозы, которые могли придумать первоначальные злоумышленники.

Из полицейского отчета неясно, как именно Лайлз намеревался обналичить деньги.

Возможно, он намеревался просто сбежать со всеми деньгами, а затем действовать так, как будто мошенник-шифровальщик сбежал и скрылся с самими криптомонетами?

Возможно, он добавил к плате свою наценку и попытался снизить требования злоумышленников, надеясь получить огромную зарплату для себя, тем не менее получив ключ дешифрования, став героем в процессе «восстановления» и тем самым отведя подозрения. ?

Недостаток в плане

Так случилось, что подлый план Лайлза был разрушен двумя вещами: компания не заплатила, поэтому у него не было биткойнов, которые он мог бы перехватить, и его несанкционированное вмешательство в систему электронной почты компании обнаружилось в системных журналах.

Полиция арестовала Лайлза и обыскала его компьютерное оборудование в поисках улик, но обнаружила, что он стер свои компьютеры, телефон и кучу USB-накопителей несколькими днями ранее.

Тем не менее, копы восстановили данные с не таких пустых, как он думал, устройств Лайлза, напрямую связав его с тем, что вы можете считать двойным вымогательством: попыткой обмануть своего работодателя и в то же время обманом мошенников, которые уже обманул своего работодателя.

Интересно, что это дело тянулось пять лет, и Лайлз настаивал на своей невиновности, пока внезапно не решил признать себя виновным на судебном заседании 2023 мая 05 года.

(Признание вины позволяет сократить срок наказания, хотя в соответствии с действующим законодательством сумма «скидки», как это довольно странно, но официально известно в Англии, уменьшается по мере того, как обвиняемый держится, прежде чем признать, что сделал это.)

Что делать?

Это вторая внутренняя угроза мы писали об этом месяце, поэтому повторим совет, который давали ранее:

• Разделяй и властвуй. Старайтесь избегать ситуаций, когда отдельные системные администраторы имеют неограниченный доступ ко всему. Из-за этого мошенникам становится сложнее придумывать и совершать «инсайдерские» киберпреступления, не вовлекая других людей в свои планы и, таким образом, рискуя преждевременным разоблачением.
• Храните неизменяемые журналы. В этом случае Лайлз, по-видимому, не смог удалить доказательства того, что кто-то подделал электронную почту других людей, что привело к его аресту. Сделайте так, чтобы любой, будь то инсайдер или посторонний, вмешивался в вашу официальную киберисторию.
• Всегда измеряйте, никогда не предполагайте. Получите независимое объективное подтверждение заявлений о безопасности. Подавляющее большинство системных администраторов честны, в отличие от Эшли Лайлз, но лишь немногие из них всегда правы на 100%.
  

  ---

  ВСЕГДА ИЗМЕРЯЙТЕ, НИКОГДА НЕ ПРЕДПОЛОЖАЙТЕ

  Не хватает времени или опыта, чтобы позаботиться о реагировании на угрозы кибербезопасности?
  Беспокоитесь, что кибербезопасность в конечном итоге отвлечет вас от всех других вещей, которые вам нужно сделать?

  Взгляните на Sophos Managed Detection and Response:
  Круглосуточный поиск угроз, обнаружение и реагирование  ▶

  ---

  УЗНАЙТЕ БОЛЬШЕ О ОТВЕТЕ НА АТАКИ

  Еще раз в пролом, дорогие друзья, еще раз!

  Питер Маккензи, директор по реагированию на инциденты в Sophos, рассказывает о реальной борьбе с киберпреступностью на сеансе, который в равной мере встревожит, развлечет и научит вас. (Полная стенограмма доступный.)

  Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.

  ---

• SEO-контент и PR-распределение. Получите усиление сегодня.
• ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
• Чеканка будущего с Эдриенн Эшли. Доступ здесь.
• Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
• Источник: https://nakedsecurity.sophos.com/2023/05/24/ransomware-tales-the-mitm-attack-that-really-had-a-man-in-the-middle/