Ransomware-berättelser: MitM-attacken som verkligen hade en man i mitten

Det har tagit mer än fem år för rättvisa att skipas i det här fallet, men polisen och domstolarna kom dit i slutet.

Det brittiska brottsbekämpningskontoret SEROCU, förkortning för South East Regional Organized Crime Unit, rapporterade denna vecka märklig berättelse av en Ashley Liles, den bokstavliga mannen i mitten som vi hänvisade till i rubriken.

Nuförtiden utökar vi vanligtvis jargongtermen MITM att mena Manipulator i mitten, inte bara för att undvika den könsrelaterade termen "man", utan också för att många, om inte de flesta, MitM-attacker nuförtiden utförs av maskiner.

Vissa tekniker har till och med antagit namnet Maskin i mitten, men vi föredrar "manipulator" för att vi tycker att det på ett användbart sätt beskriver hur den här typen av attack fungerar, och för att (som den här historien visar) ibland verkligen är människan, och inte en maskin, i mitten.

MitM förklarade

En MitM-attack beror på någon eller något som kan fånga upp meddelanden som skickas till dig och modifiera dem på vägen igenom för att lura dig.

Angriparen modifierar vanligtvis också dina svar till den ursprungliga avsändaren, så att de inte upptäcker bedrägeriet och sugs in i tricket tillsammans med dig.

Som du kan föreställa dig är kryptografi ett sätt att undvika MitM-attacker, tanken är att om data krypteras innan den skickas, så kan inte vem som helst eller vad som helst som befinner sig i mitten förstå det alls.

Angriparen skulle inte bara behöva dekryptera meddelandena från varje ände för att ta reda på vad de betydde, utan också att kryptera om de modifierade meddelandena korrekt innan de skickade dem vidare, för att undvika upptäckt och upprätthålla förräderi.

En klassisk, och ödesdiger, MitM-berättelse går tillbaka till slutet av 1580-talet, när spionmästare från Englands drottning Elizabeth I kunde fånga upp och manipulera hemlig korrespondens från Mary, Queen of Scots.

Mary, som var Elizabeths kusin och politiska ärkerival, var vid den tiden i strikt husarrest; hennes hemliga meddelanden smugglades tydligen in och ut i öltunnor som levererades till slottet där hon hölls fängslad.

För Mary kunde drottning Bess spionmästare inte bara fånga upp och läsa Marys meddelanden, utan också skicka förfalskade svar som lockade Mary att skriva tillräckligt med detaljer för att så att säga koka sin egen gås, vilket avslöjade att hon var medveten om, och aktivt stöttat, en komplott för att få Elizabeth mördad.

Mary dömdes till döden och avrättades 1587.

Spola framåt till 2018

Den här gången fanns det lyckligtvis inga mordplaner och England avskaffade dödsstraffet 1998.

Men det här 21-talets meddelandeavlyssningsbrott var lika djärvt och lika lurigt som det var enkelt.

Ett företag i Oxford, England, strax norr om Sophos (vi är 15 km nedför floden i Abingdon-on-Thames, om du undrade) drabbades av ransomware 2018.

År 2018 hade vi redan gått in i den samtida ransomware-eran, där brottslingar bryter sig in och utpressar hela företag åt gången, och ber om enorma summor pengar, istället för att gå efter tiotusentals enskilda datorägare för $300 vardera.

Det var då den nu dömde gärningsmannen gick från att vara en Sysadmin-in-the-affected-Business till en Man-in-the-Middle cyberbrottsling.

Medan han arbetade med både företaget och polisen för att hantera attacken vände sig gärningsmannen, Ashely Liles, 28, mot sina kollegor genom att:

• Ändra e-postmeddelanden från de ursprungliga skurkarna till sina chefer och redigera Bitcoin-adresserna som anges för utpressningsbetalningen. Liles hoppades därmed kunna avlyssna eventuella betalningar som kunde göras.
• Spoofing meddelanden från de ursprungliga skurkarna för att öka pressen att betala. Vi gissar att Liles använde sin insiderkunskap för att skapa värsta scenarier som skulle vara mer trovärdiga än alla hot som ursprungliga angripare kunde ha kommit på.

Det framgår inte av polisrapporten exakt hur Liles hade för avsikt att ta ut pengar.

Han kanske bara hade för avsikt att springa iväg med alla pengar och sedan agera som om krypteringsskurken hade klippt och sprungit och sprungit iväg med själva kryptomynten?

Kanske lade han till sin egen påslag till avgiften och försökte förhandla ner angriparnas krav, i hopp om att klara en massiv lönedag för sig själv samtidigt som han skaffar dekrypteringsnyckeln, bli en hjälte i "återställningsprocessen" och därigenom avleda misstankar ?

Bristen i planen

Som det hände förstördes Liles elaka plan av två saker: företaget betalade inte, så det fanns inga Bitcoins för honom att avlyssna, och hans obehöriga fifflande i företagets e-postsystem dök upp i systemloggarna.

Polisen arresterade Liles och sökte igenom hans datorutrustning efter bevis, bara för att finna att han hade torkat sina datorer, sin telefon och ett gäng USB-enheter några dagar tidigare.

Icke desto mindre återställde polisen data från Liles inte-så-tomma-som-han-trodde enheter, och länkade honom direkt till vad du kan tänka dig som en dubbel utpressning: att försöka lura sin arbetsgivare, samtidigt som de lurade bedragarna som hade redan lurat sin arbetsgivare.

Spännande nog drog det här fallet ut på i fem år, där Liles vidhöll sin oskuld tills han plötsligt bestämde sig för att erkänna sig skyldig i en domstolsförhandling 2023-05-17.

(Att erkänna sig skyldig ger ett reducerat straff, men enligt gällande regler minskar mängden "rabatt", som det är ganska konstigt men officiellt känt i England, ju längre den anklagade håller ut innan de erkänner att de gjorde det.)

Vad göra?

Detta är den andra insiderhotet vi har skrivit om den här månaden, så vi kommer att upprepa råden vi gav tidigare:

• Söndra och erövra. Försök att undvika situationer där enskilda systemadministratörer har obegränsad tillgång till allt. Detta gör det svårare för oseriösa anställda att hitta på och utföra "insider" cyberbrott utan att inkludera andra människor i sina planer, och därmed riskera tidig exponering.
• Håll oföränderliga loggar. I det här fallet kunde Liles uppenbarligen inte ta bort bevisen som visade att någon hade manipulerat andras e-post, vilket ledde till att han greps. Gör det så svårt du kan för vem som helst, vare sig insider eller utomstående, att manipulera din officiella cyberhistoria.
• Mät alltid, anta aldrig. Få oberoende, objektiv bekräftelse av säkerhetsanspråk. De allra flesta sysadmins är ärliga, till skillnad från Ashley Liles, men få av dem har 100% rätt hela tiden.
  

  ---

  MÄT ALLTID, ANTA ALDRIG

  Har du ont om tid eller expertis för att ta hand om cybersäkerhetshot?
  Orolig för att cybersäkerhet kommer att distrahera dig från alla andra saker du behöver göra?

  Ta en titt på Sophos Managed Detection and Response:
  24/7 hotjakt, upptäckt och respons  ▶

  ---

  LÄS MER OM ATT RESA PÅ ATTACK

  Ännu en gång till bristningen, kära vänner, ännu en gång!

  Peter Mackenzie, Director of Incident Response på Sophos, pratar om cyberbrottsbekämpning i verkligheten i en session som kommer att larma, roa och utbilda dig, allt i lika stor utsträckning. (Fullständigt transkript tillgängliga.)

  Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.

  ---

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
• Minting the Future med Adryenn Ashley. Tillgång här.
• Köp och sälj aktier i PRE-IPO-företag med PREIPO®. Tillgång här.
• Källa: https://nakedsecurity.sophos.com/2023/05/24/ransomware-tales-the-mitm-attack-that-really-had-a-man-in-the-middle/