Це було не типово кібервимагання ситуація.
Точніше, він йшов тим, що ви могли б подумати як добре протертий шлях, тому в цьому сенсі він здався «типовим» (якщо вибачте за використання слова типовий у контексті серйозного кіберзлочину), але це сталося не так, як ви, мабуть, припустили спочатку.
Починаючи з грудня 2020 року злочин розгортався наступним чином:
- Зловмисник увірвався через невідому діру безпеки.
- Зловмисник отримав повноваження системного адміністратора в мережі.
- Зловмисник вкрав гігабайти конфіденційних даних.
- Зловмисник возився з системними журналами щоб замести сліди.
- Зловмисник вимагав 50 біткоінів (на той час вартістю близько 2,000,000 XNUMX XNUMX доларів), щоб зам’яти речі.
- Зловмисник докксував жертву коли шантаж не був оплачений.
Doxxing, якщо ви не знайомі з цим терміном, це скорочений жаргон для навмисне оприлюднення документів про особу чи компанію, щоб наразити їх на фізичну, фінансову чи іншу шкоду.
Коли кіберзлочинці викривають осіб, які їм не подобаються, або з якими вони мають рахунки, які хочуть звести, ідея часто полягає в тому, щоб піддати жертві ризику (або принаймні страху) фізичного нападу, наприклад, звинувачення у вчиненні жахливого злочину, бажаючи справедливості, а потім розповідаючи всім, де вони живуть.
Якщо жертвою є компанія, злочинний намір зазвичай полягає в тому, щоб створити операційну, репутаційну, фінансову чи регулятивну напругу для жертви не лише шляхом викриття того, що компанія зазнала порушення, але й навмисного оприлюднення конфіденційної інформації, яку інші злочинці можуть отримати. зловживання відразу.
Якщо ви вчините правильно та повідомите про порушення місцевому регулятору, регулятор не вимагатиме від вас негайного оприлюднення подробиць, які схожі на посібник про те, «як прямо зараз зламати компанію X». Якщо згодом буде визнано, що використаної діри в безпеці можна було легко уникнути, регулятор може зрештою вирішити оштрафувати вас за те, що ви не запобігли порушенню, але, незважаючи на це, працюватиме з вами на початку, щоб спробувати мінімізувати шкоду та ризик.
Підйомник власною петардою
Хороша новина в цьому випадку (хороша для правопорядку, хоча і не для злочинця) полягає в тому, що жертва була не такою довірливою, як здавалося злочинцю.
Компанія-1, як їх називає Міністерство юстиції США (DOJ), і ми також, хоча їх особи були широко розкриті в публічних записах, швидко здавалося, що запідозрили внутрішню роботу.
Протягом трьох місяців після початку атаки ФБР встигло вчинив наліт на дім незабаром колишнього старшого кодера Ніколаса Шарпа, якому на той час було близько 30 років, підозрюючи його у злочинці.
Насправді Шарп, як старший розробник компанії-1, вочевидь «допомагав» (тут ми використовуємо цей термін вільно) «виправляти» (так само) свою власну атаку вдень, намагаючись вимагати 2 мільйони доларів оплата викупу вночі.
У рамках арешту поліцейські вилучили різні комп’ютерні пристрої, включно з тим, що виявилося ноутбуком, який Шарп використовував під час нападу на власного роботодавця, і допитали Шарпа про його ймовірну роль у злочині.
Шарп, схоже, не тільки розповів федералам купу брехні (або зробив численні неправдиві заяви, за більш безпристрасними словами Міністерства юстиції), але також продовжив піар-контрнаступ, який можна назвати «фейковими новинами», очевидно, сподіваючись збити розслідування з колії.
Як Міністерство юстиції ставить його:
Через кілька днів після того, як ФБР виконало ордер на обшук у резиденції SHARP, SHARP спровокував публікацію неправдивих новин про інцидент і реакцію компанії-1 на інцидент. У цих історіях SHARP назвав себе анонімним інформатором у Компанії-1, який працював над усуненням інциденту та неправдиво стверджував, що Компанію-1 було зламано невстановленим зловмисником, який зловмисно отримав доступ кореневого адміністратора до облікових записів AWS Компанії-1.
Насправді, як добре було відомо SHARP, SHARP сам отримав дані компанії-1, використовуючи облікові дані, до яких він мав доступ, і SHARP використав ці дані в невдалій спробі вимагати від компанії-1 мільйони доларів.
Майже відразу після появи новин про витік даних ціна акцій Company-1 дуже раптово впала з приблизно 390 доларів до приблизно 280 доларів.
Незважаючи на те, що ціна могла помітно впасти через будь-яке повідомлення про порушення, у звіті Міністерства юстиції цілком обґрунтовано натякає (хоча він не констатує як факт), що цей неправдивий наратив, поширений Sharp у ЗМІ, погіршив девальвацію. ніж це було б інакше.
Шарп визнав себе винним у лютому 2023 року; Цього тижня його засудили до шести років ув’язнення, а потім до трьох років умовно-дострокового звільнення, і зобов’язали сплатити трохи більше 1,500,000 XNUMX XNUMX доларів США.
(Він також ніколи не поверне жодного свого конфіскованого комп’ютерного обладнання, хоча можна тільки здогадуватися, наскільки корисним був би цей комплект, якби його повернули йому після шести років ув’язнення та ще трьох років під наглядом.)
Що ж робити?
- Розділяй і володарюй. Намагайтеся уникати ситуацій, коли окремі системні адміністратори мають необмежений доступ до всього. Додаткові клопоти, пов’язані з вимогою двох незалежних авторизацій для важливих системних операцій, — це невелика ціна за додаткову безпеку та контроль, які вона вам надає.
- Зберігайте незмінні журнали. У цьому випадку Шарп зміг возитися з системними журналами, намагаючись приховати власний доступ і натомість кинути підозри на колег. Однак, враховуючи швидкість, з якою його спіймали, ми припускаємо, що Компанія-1 зберігала принаймні деякі журнали «лише для запису», які становили постійний незаперечний запис ключових системних дій.
- Завжди вимірювайте, ніколи не припускайте. Отримайте незалежне, об'єктивне підтвердження заяв про безпеку. Переважна більшість системних адміністраторів чесні, на відміну від Ніколаса Шарпа, але деякі з них мають рацію на 100% завжди.
Більшість сисадмінів, яких ми знаємо, були б раді мати регулярний доступ до другої думки, щоб перевірити свої припущення.
Подвійна перевірка важливої роботи з кібербезпеки є допомогою, а не перешкодою, щоб переконатися, що її не лише правильно розпочато, але й правильно завершено.
ЗАВЖДИ МІРЯЙТЕ, НІКОЛИ не припускайте
Не вистачає часу чи досвіду для реагування на загрози кібербезпеці?
Хвилюєтеся, що кібербезпека зрештою відволікатиме вас від усіх інших справ, які вам потрібно зробити?
Погляньте на Sophos Managed Detection and Response:
Цілодобове полювання на загрози, виявлення та реагування ▶
ДІЗНАЙТЕСЯ БІЛЬШЕ ПРО АКТИВНИХ ПРОТИВНИКІВ
прочитайте наші Active Adversary Playbook.
Це захоплююче дослідження 144 реальних атак, проведене технічним директором Sophos Field Джоном Широм.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/05/12/whodunnit-cybercrook-gets-6-years-for-ransoming-his-own-employer/
- : має
- :є
- : ні
- :де
- $UP
- 000
- 1
- 15%
- 2020
- 2023
- 50
- 500
- a
- Здатний
- МЕНЮ
- абсолют
- зловживання
- доступ
- рахунки
- Рахунки
- придбаний
- через
- активний
- діяльності
- Додатковий
- після
- ВСІ
- нібито
- Також
- кількість
- an
- та
- анонімний
- будь-який
- ЕСТЬ
- AS
- передбачається
- At
- атака
- Атакуючий
- нападки
- автор
- авторизації
- автоматичний
- уникнути
- геть
- AWS
- назад
- фонове зображення
- BE
- було
- буття
- Шантаж
- border
- дно
- порушення
- Зламав
- бюст
- але
- by
- call
- Виклики
- прийшов
- CAN
- потужність
- який
- випадок
- спійманий
- викликаний
- Центр
- стверджував,
- претензій
- color
- компанія
- Зроблено
- комп'ютер
- підтвердження
- контекст
- контроль
- Поліцейські
- обкладинка
- створювати
- Повноваження
- Злочин
- Кримінальну
- злочинці
- критичний
- CTO
- кіберзлочинності
- кіберзлочинці
- Кібербезпека
- дані
- Дані порушення
- день
- Днів
- Грудень
- вирішувати
- вважається
- в захваті
- Попит
- необхідний
- відділ
- управління юстиції
- Міністерство юстиції (МЮ)
- деталі
- Виявлення
- Девальвація
- Розробник
- прилади
- дисплей
- do
- документація
- ДоЙ
- доларів
- Не знаю
- впав
- легко
- кінець
- обладнання
- Навіть
- все
- все
- приклад
- експертиза
- експлуатований
- факт
- не вдалося
- Fallen
- false
- знайомий
- захоплюючий
- fbi
- страх
- лютого
- Федерали
- кілька
- поле
- фінансовий
- кінець
- Перший
- потім
- слідує
- для
- сформований
- від
- далі
- отримати
- даний
- дає
- буде
- добре
- керівництво
- винний
- Довірчий
- зламати
- зламаний
- було
- траплятися
- Мати
- he
- висота
- допомога
- тут
- приховувати
- його
- перешкода
- його
- Hole
- сподіваючись
- hover
- Як
- Однак
- HTTPS
- Полювання
- ідея
- ідентифікований
- Особистість
- if
- негайно
- непорушний
- важливо
- in
- інцидент
- У тому числі
- незалежний
- індивідуальний
- осіб
- інформація
- замість
- намір
- в
- дослідження
- IT
- жаргон
- робота
- Джон
- Джон Шаєр
- просто
- юстиція
- збережений
- ключ
- комплект
- Знати
- портативний комп'ютер
- пізніше
- закон
- найменш
- залишити
- лежить
- як
- жити
- місцевий
- подивитися
- made
- Більшість
- зробити
- вдалося
- Маржа
- макс-ширина
- вимір
- Медіа
- може бути
- мільйони
- зводить до мінімуму
- місяців
- більше
- Гола безпека
- NARRATIVE
- Необхідність
- мережу
- ніколи
- проте
- новини
- ніч
- нормальний
- особливо
- сповіщення
- численний
- мета
- of
- від
- часто
- on
- тільки
- оперативний
- операції
- Думка
- or
- порядок
- Інше
- інакше
- наші
- з
- над
- власний
- Pack
- оплачувану
- частина
- шлях
- Платити
- оплата
- постійний
- людина
- фізичний
- місце
- plato
- Інформація про дані Платона
- PlatoData
- положення
- Пости
- pr
- точно
- попередження
- price
- в'язниця
- ймовірно
- громадськість
- публікувати
- опублікований
- put
- На питання
- швидко
- Викуп
- запис
- регулярний
- регулятор
- регуляторні
- звільнити
- звітом
- відповідь
- право
- Risk
- Роль
- корінь
- Безпека
- рахунок
- Пошук
- другий
- безпеку
- здавалося
- Здається,
- вилучено
- старший
- сенс
- засуджений
- серйозний
- оселитися
- Поділитись
- гострий
- Шір
- Короткий
- стенограма
- ситуація
- ситуацій
- SIX
- невеликий
- So
- solid
- деякі
- швидкість
- витрачати
- старт
- почалася
- Як і раніше
- вкрав
- Зупиняє
- історії
- стрес
- Вивчення
- підозрюваний
- SVG
- система
- Приймати
- ніж
- Що
- Команда
- їх
- Їх
- потім
- вони
- річ
- речі
- думати
- це
- На цьому тижні
- ті
- хоча?
- загроза
- три
- час
- до
- занадто
- топ
- трек
- перехід
- прозорий
- намагатися
- Опинився
- два
- типовий
- Зрештою
- невідомий
- на відміну від
- URL
- us
- Міністерство юстиції США
- використання
- використовуваний
- використання
- зазвичай
- різний
- величезний
- перевірити
- дуже
- через
- Жертва
- хотіти
- Ордер
- було
- шлях..
- we
- week
- ДОБРЕ
- пішов
- були
- Що
- коли
- який
- в той час як
- інформатор
- ВООЗ
- широко
- волі
- бажаючих
- з
- в
- слово
- слова
- Work
- працював
- гірше
- вартість
- б
- письменник
- X
- років
- ви
- вашу
- зефірнет