Это не было твоим типичным кибервымогательство ситуацию.
Точнее, он следовал тому, что вы могли бы считать протоптанным путем, так что в этом смысле он производил впечатление «типичного» (если вы извините за использование слова типичный в контексте серьезного киберпреступления), но все произошло не так, как вы, вероятно, предполагали вначале.
Начиная с декабря 2020 года преступление развивалось следующим образом:
- Злоумышленник ворвался в через неизвестную дыру в безопасности.
- Злоумышленник получил полномочия системного администратора в сети.
- Злоумышленник украл гигабайты конфиденциальных данных.
- Злоумышленник запутался в системных журналах чтобы замести следы.
- Злоумышленник потребовал 50 биткойнов (тогда стоивший около 2,000,000 XNUMX XNUMX долларов), чтобы замять дело.
- Злоумышленник доксировал жертву когда шантаж не был оплачен.
доксинг, если вы не знакомы с этим термином, это сокращенный жаргон для преднамеренное раскрытие документов о человеке или компании с целью причинения им физического, финансового или иного вреда.
Когда киберпреступники доносят до людей, которые им не нравятся или с которыми у них есть счеты, которые они хотят свести, идея часто состоит в том, чтобы подвергнуть жертву риску физической атаки (или, по крайней мере, страху перед ней), например, обвинив им в гнусном преступлении, желая им справедливого правосудия, а затем рассказывая всем, где они живут.
Когда жертвой является компания, преступный умысел обычно состоит в том, чтобы создать операционный, репутационный, финансовый или нормативный стресс для жертвы, не только разоблачая, что компания в первую очередь пострадала от нарушения, но и преднамеренно раскрывая конфиденциальную информацию, которую могут получить другие преступники. злоупотреблять сразу.
Если вы поступаете правильно и сообщаете о взломе своему местному регулирующему органу, регулирующий орган не будет требовать, чтобы вы немедленно публиковали подробности, равнозначные руководству о том, «как взломать компанию X прямо сейчас». Если позже будет сочтено, что использованную дыру в безопасности легко избежать, регулирующий орган может в конечном итоге принять решение о штрафе за то, что вы не предотвратили нарушение, но, тем не менее, с самого начала будет работать с вами, чтобы попытаться минимизировать ущерб и риск.
Подъем собственной петардой
Хорошая новость в этом случае (хорошая для правопорядка, но не для преступника) заключается в том, что жертва не была настолько доверчивой, как казалось преступнику.
Компания-1, как их называет Министерство юстиции США (МЮ) и мы тоже, несмотря на то, что их личность была широко раскрыта в публичных отчетах, быстро, похоже, заподозрила внутреннюю работу.
Через три месяца после начала атаки ФБР совершил набег на дом Николаса Шарпа, который скоро станет бывшим старшим программистом, которому тогда было около 30 лет, подозревая его в том, что он преступник.
На самом деле, Шарп в качестве старшего разработчика в Компании-1, по-видимому, «помогал» (здесь мы используем термин в широком смысле) «исправлять» (то же самое) свою собственную атаку днем, пытаясь вымогать 2 миллиона долларов. оплата выкупа ночью.
В рамках ареста полицейские изъяли различные компьютерные устройства, в том числе то, что оказалось ноутбуком, который Шарп использовал при нападении на своего работодателя, и допросили Шарпа о его предполагаемой роли в преступлении.
Шарп, кажется, не только наговорил федералам кучу лжи (или сделал множество ложных заявлений, выражаясь более беспристрастными словами Министерства юстиции), но также продолжил то, что вы могли бы назвать «фейковыми новостями», PR-контрнаступление, очевидно, надеясь сбить расследование с пути.
Как Министерство юстиции ставит его:
Через несколько дней после того, как ФБР выполнило ордер на обыск в доме SHARP, SHARP опубликовал ложные новости об инциденте и реакции Компании-1 на инцидент. В этих историях SHARP представился анонимным осведомителем в Компании-1, который работал над устранением инцидента и ложно утверждал, что Компания-1 была взломана неизвестным злоумышленником, который злонамеренно получил доступ администратора root к учетным записям AWS Компании-1.
На самом деле, как хорошо было известно SHARP, SHARP сам забрал данные Компании-1, используя учетные данные, к которым у него был доступ, и SHARP использовал эти данные в неудачной попытке вымогать у Компании-1 миллионы долларов.
Почти сразу же после того, как появились новости об утечке данных, цена акций Company-1 внезапно упала с 390 до 280 долларов.
Хотя цена могла заметно снизиться из-за какого-либо уведомления о нарушении, в отчете Министерства юстиции вполне разумно подразумевается (хотя и не констатируется как факт), что эта ложная информация, которую Sharp продавала СМИ, усугубила девальвацию. чем это было бы в противном случае.
Шарп признал себя виновным в феврале 2023 года; На этой неделе он был приговорен к шести годам тюремного заключения, а затем к трем годам условно-досрочного освобождения, а также к выплате компенсации в размере чуть более 1,500,000 XNUMX XNUMX долларов.
(Кроме того, он никогда не вернет свое конфискованное компьютерное оборудование, хотя можно только догадываться, насколько полезным был бы этот комплект, если бы его вернули ему после шести лет тюрьмы и еще трех лет на условно-досрочном освобождении.)
Что делать?
- Разделяй и властвуй. Старайтесь избегать ситуаций, когда отдельные системные администраторы имеют неограниченный доступ ко всему. Дополнительные хлопоты, связанные с необходимостью двух независимых авторизаций для важных системных операций, — это небольшая цена за дополнительную безопасность и контроль, которые она вам дает.
- Храните неизменяемые журналы. В этом случае Шарп смог возиться с системными журналами, пытаясь скрыть свой собственный доступ и вместо этого бросить подозрения на коллег. Однако, учитывая скорость, с которой его поймали, мы предполагаем, что Компания-1 вела по крайней мере несколько журналов «только для записи», которые составляли постоянную, неопровержимую запись ключевых системных действий.
- Всегда измеряйте, никогда не предполагайте. Получите независимое объективное подтверждение заявлений о безопасности. Подавляющее большинство системных администраторов честны, в отличие от Николаса Шарпа, но немногие из них всегда правы на 100%.
Большинство системных администраторов, которых мы знаем, были бы рады иметь регулярный доступ к другому мнению для проверки своих предположений.
Перепроверка критической работы по кибербезопасности — это помощь, а не помеха, чтобы убедиться, что она не только правильно начата, но и правильно завершена.
ВСЕГДА ИЗМЕРЯЙТЕ, НИКОГДА НЕ ПРЕДПОЛОЖАЙТЕ
Не хватает времени или опыта, чтобы позаботиться о реагировании на угрозы кибербезопасности?
Беспокоитесь, что кибербезопасность в конечном итоге отвлечет вас от всех других вещей, которые вам нужно сделать?
Взгляните на Sophos Managed Detection and Response:
Круглосуточный поиск угроз, обнаружение и реагирование ▶
УЗНАЙТЕ БОЛЬШЕ ОБ АКТИВНЫХ ПРОТИВНИКАХ
Прочитайте наш информационный раздел Сценарий активного противника.
Это увлекательное исследование 144 реальных атак, проведенное техническим директором Sophos Field Джоном Широм.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/05/12/whodunnit-cybercrook-gets-6-years-for-ransoming-his-own-employer/
- :имеет
- :является
- :нет
- :куда
- $UP
- 000
- 1
- 15%
- 2020
- 2023
- 50
- 500
- a
- в состоянии
- О нас
- Absolute
- злоупотребление
- доступ
- Учетная запись
- Учетные записи
- приобретенный
- через
- активный
- активно
- дополнительный
- После
- Все
- утверждаемый
- причислены
- количество
- an
- и
- Anonymous
- любой
- МЫ
- AS
- предполагается,
- At
- атаковать
- Атакующий
- нападки
- автор
- разрешения
- автоматический
- избежать
- прочь
- AWS
- назад
- Фоновое изображение
- BE
- было
- не являетесь
- Шантаж
- граница
- Дно
- нарушение
- Сломался
- бюст
- но
- by
- призывают
- Объявления
- пришел
- CAN
- Пропускная способность
- заботится
- случаев
- пойманный
- вызванный
- Центр
- заявил
- требования
- цвет
- Компания
- Заполненная
- компьютер
- подтверждение
- контекст
- контроль
- Полицейские
- чехол для варгана
- Создайте
- Полномочия
- Преступление
- Криминальное
- Преступники
- критической
- CTO
- киберпреступности
- киберпреступники
- Информационная безопасность
- данным
- Данные нарушения
- день
- Дней
- Декабрь
- решать
- считается
- Обрадованный
- Спрос
- требуемый
- Кафедра
- Департамент правосудия
- Министерство юстиции (DoJ)
- подробнее
- обнаружение
- Девальвация
- Застройщик
- Устройства
- Дисплей
- do
- Документация
- DoJ
- долларов
- Dont
- упал
- легко
- конец
- Оборудование
- Даже
- все члены
- многое
- пример
- опыта
- Эксплуатируемый
- факт
- XNUMX ошибка
- Fallen
- ложный
- знакомый
- увлекательный
- ФБР
- страх
- февраль
- Федералы
- несколько
- поле
- финансовый
- конец
- First
- следует
- следующим образом
- Что касается
- сформированный
- от
- далее
- получить
- данный
- дает
- будет
- хорошо
- инструкция
- виновный
- легковерный
- мотыга
- взломанa
- было
- происходить
- Есть
- he
- высота
- помощь
- здесь
- Спрятать
- его
- помеха
- его
- Отверстие
- надеясь
- зависать
- Как
- Однако
- HTTPS
- охота
- идея
- идентифицированный
- Личность
- if
- немедленно
- неизменный
- важную
- in
- инцидент
- В том числе
- независимые
- individual
- лиц
- информация
- вместо
- намерение
- в
- ходе расследования,
- IT
- жаргон
- работа
- John
- Джон Шайер
- всего
- Юстиция
- хранится
- Основные
- комплект
- Знать
- портативный компьютер
- новее
- закон
- наименее
- оставил
- лежит
- такое как
- жить
- локальным
- посмотреть
- сделанный
- Большинство
- сделать
- управляемого
- Маржа
- макс-ширина
- проводить измерение
- Медиа
- может быть
- миллионы
- минимизировать
- месяцев
- БОЛЕЕ
- Голая Безопасность
- РАССКАЗ
- Необходимость
- сеть
- никогда
- Тем не менее
- Новости
- ночь
- "обычные"
- особенно
- уведомление
- многочисленный
- цель
- of
- от
- .
- on
- только
- оперативный
- Операционный отдел
- Обзор
- or
- заказ
- Другое
- в противном случае
- наши
- внешний
- за
- собственный
- Упаковывать
- выплачен
- часть
- путь
- ОПЛАТИТЬ
- оплата
- постоянный
- человек
- физический
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- должность
- Блог
- pr
- Точно
- предупреждение
- цена
- тюрьма
- вероятно
- что такое варган?
- публиковать
- опубликованный
- положил
- На вопрос
- быстро
- Выкуп
- запись
- регулярный
- регулятор
- регуляторы
- освободить
- отчету
- ответ
- правую
- Снижение
- Роли
- корень
- Сохранность
- Гол
- Поиск
- Во-вторых
- безопасность
- казалось
- кажется
- изъяли
- старший
- смысл
- приговоренный
- серьезный
- урегулировать
- Поделиться
- острый
- Шиер
- Короткое
- стенография
- ситуация
- обстоятельства
- ШЕСТЬ
- небольшой
- So
- твердый
- некоторые
- скорость
- тратить
- Начало
- и политические лидеры
- По-прежнему
- украли
- Останавливает
- Истории
- стресс
- Кабинет
- подозреваемый
- SVG
- система
- взять
- чем
- который
- Ассоциация
- их
- Их
- тогда
- они
- задача
- вещи
- think
- этой
- На этой неделе
- те
- хоть?
- угроза
- три
- время
- в
- слишком
- топ
- трек
- переход
- прозрачный
- стараться
- Оказалось
- два
- типичный
- В конечном счете
- неизвестный
- В отличие от
- URL
- us
- Министерство юстиции США
- использование
- используемый
- через
- обычно
- различный
- Огромная
- проверить
- очень
- с помощью
- Жертва
- хотеть
- варрант
- законопроект
- Путь..
- we
- неделя
- ЧТО Ж
- пошел
- были
- Что
- когда
- который
- в то время как
- осведомитель
- КТО
- широко
- будете
- желающих
- в
- Word
- слова
- Работа
- работавший
- хуже
- стоимость
- бы
- писатель
- X
- лет
- являетесь
- ВАШЕ
- зефирнет