Câu chuyện về ransomware: Cuộc tấn công MitM thực sự có một người đàn ông ở giữa

Phải mất hơn năm năm để công lý được thực thi trong trường hợp này, nhưng cảnh sát và tòa án đến đó đến cuối cùng.

Văn phòng thực thi pháp luật Vương quốc Anh SEROCU, viết tắt của Đơn vị chống tội phạm có tổ chức khu vực Đông Nam Bộ, tuần này báo cáo câu chuyện đặc biệt của một Ashley Liles, Người đàn ông ở giữa theo nghĩa đen mà chúng tôi đã đề cập đến trong tiêu đề.

Ngày nay, chúng ta thường mở rộng thuật ngữ biệt ngữ MítM nghĩa là Người thao túng ở giữa, không chỉ để tránh thuật ngữ giới tính “con người”, mà còn bởi vì nhiều, nếu không muốn nói là hầu hết, các cuộc tấn công MitM ngày nay được thực hiện bởi máy móc.

Một số kỹ thuật viên thậm chí đã thông qua tên Máy ở giữa, nhưng chúng tôi thích "người thao túng" hơn vì chúng tôi nghĩ rằng nó mô tả hữu ích cách thức hoạt động của kiểu tấn công này và bởi vì (như câu chuyện này cho thấy) đôi khi chính con người thực sự là trung gian chứ không phải máy móc.

MitM giải thích

Một cuộc tấn công MitM phụ thuộc vào ai đó hoặc thứ gì đó có thể chặn tin nhắn được gửi cho bạn và sửa đổi chúng trên đường đi để đánh lừa bạn.

Kẻ tấn công thường cũng sửa đổi các câu trả lời của bạn cho người gửi ban đầu để chúng không phát hiện ra hành vi lừa dối và bị cuốn vào mánh khóe cùng với bạn.

Như bạn có thể tưởng tượng, mật mã là một cách để tránh các cuộc tấn công MitM, ý tưởng là nếu dữ liệu được mã hóa trước khi gửi, thì bất kỳ ai hoặc bất cứ thứ gì ở giữa đều không thể hiểu được.

Kẻ tấn công không chỉ cần giải mã các tin nhắn từ mỗi đầu để hiểu ý nghĩa của chúng mà còn phải mã hóa lại các tin nhắn đã sửa đổi một cách chính xác trước khi chuyển chúng đi, để tránh bị phát hiện và duy trì hành vi phản bội.

Một câu chuyện MitM kinh điển và chết người bắt nguồn từ cuối những năm 1580, khi những người theo dõi tin tức của Nữ hoàng Anh Elizabeth I có thể chặn và thao túng thư từ bí mật từ Mary, Nữ hoàng Scotland.

Mary, em họ và là đối thủ chính trị của Elizabeth, vào thời điểm đó đang bị quản thúc nghiêm ngặt tại gia; các thông điệp bí mật của cô ấy dường như đã được nhập lậu vào và ra trong các thùng bia được chuyển đến lâu đài nơi cô ấy bị giam giữ.

Nguy hiểm cho Mary, những người quản lý tin nhắn của Nữ hoàng Bess không chỉ có thể chặn và đọc các tin nhắn của Mary, mà còn gửi những câu trả lời giả mạo để dụ Mary viết đầy đủ chi tiết để nấu món ngỗng của chính mình, tiết lộ rằng cô ấy đã biết, và tích cực hỗ trợ, một âm mưu ám sát Elizabeth.

Mary bị kết án tử hình và bị xử tử năm 1587.

Tua nhanh đến năm 2018

Lần này, may mắn thay, không có kế hoạch ám sát nào và nước Anh đã bãi bỏ án tử hình vào năm 1998.

Nhưng tội phạm đánh chặn tin nhắn thế kỷ 21 này vừa táo bạo vừa ranh ma đơn giản.

Một doanh nghiệp ở Oxford, Anh, ngay phía bắc Sophos (chúng tôi cách Abingdon-on-Thames 15 km về phía hạ lưu, trong trường hợp bạn đang thắc mắc) đã bị tấn công bởi ransomware vào năm 2018.

Vào năm 2018, chúng ta đã bước vào kỷ nguyên ransomware đương đại, nơi tội phạm đột nhập và tống tiền toàn bộ công ty cùng một lúc, yêu cầu số tiền khổng lồ, thay vì theo đuổi hàng chục nghìn chủ sở hữu máy tính cá nhân với giá 300 đô la mỗi người.

Đó là khi thủ phạm hiện đã bị kết án chuyển từ vị trí Quản trị viên hệ thống trong doanh nghiệp bị ảnh hưởng thành tội phạm mạng trung gian.

Trong khi làm việc với cả công ty và cảnh sát để đối phó với vụ tấn công, thủ phạm, Ashely Liles, 28 tuổi, đã kích động đồng nghiệp của mình bằng cách:

• Sửa đổi email từ kẻ lừa đảo ban đầu gửi cho ông chủ của anh ta và chỉnh sửa địa chỉ Bitcoin được liệt kê cho khoản thanh toán tống tiền. Do đó, Liles hy vọng sẽ chặn được bất kỳ khoản thanh toán nào có thể được thực hiện.
• Giả mạo tin nhắn từ kẻ gian ban đầu để tăng áp lực trả tiền. Chúng tôi đoán rằng Liles đã sử dụng kiến ​​thức nội bộ của mình để tạo ra các tình huống xấu nhất đáng tin cậy hơn bất kỳ mối đe dọa nào mà những kẻ tấn công ban đầu có thể nghĩ ra.

Không rõ từ báo cáo của cảnh sát chính xác cách Liles định rút tiền.

Có lẽ anh ta chỉ đơn giản là định tẩu thoát với tất cả số tiền và sau đó hành động như thể kẻ lừa đảo mã hóa đã chạy trốn và bỏ trốn cùng với chính tiền điện tử?

Có lẽ anh ta đã thêm phần đánh dấu của riêng mình vào khoản phí và cố gắng thương lượng giảm bớt yêu cầu của những kẻ tấn công, với hy vọng kiếm được một khoản tiền lớn cho bản thân trong khi vẫn có được khóa giải mã, trở thành anh hùng trong quá trình “khôi phục” và do đó đánh lạc hướng sự nghi ngờ ?

Lỗ hổng trong kế hoạch

Khi nó xảy ra, kế hoạch đê tiện của Liles đã bị phá hỏng bởi hai điều: công ty không trả tiền, vì vậy không có Bitcoin để anh ta chặn và việc anh ta can thiệp trái phép vào hệ thống email của công ty xuất hiện trong nhật ký hệ thống.

Cảnh sát đã bắt giữ Liles và khám xét thiết bị máy tính của anh ta để tìm bằng chứng, chỉ để phát hiện ra rằng anh ta đã xóa sạch máy tính, điện thoại và một loạt ổ USB vài ngày trước đó.

Tuy nhiên, cảnh sát đã khôi phục dữ liệu từ các thiết bị không-trống-như-anh-nghĩ của Liles, liên kết trực tiếp anh ta với những gì bạn có thể nghĩ là một vụ tống tiền kép: cố gắng lừa đảo chủ của anh ta, đồng thời lừa đảo những kẻ lừa đảo đã đã lừa đảo chủ nhân của mình.

Điều thú vị là vụ án này đã kéo dài 2023 năm, Liles vẫn khẳng định mình vô tội cho đến khi đột ngột quyết định nhận tội trong một phiên tòa vào ngày 05-17-XNUMX.

(Nhận tội sẽ được giảm án, mặc dù theo quy định hiện hành, số tiền “giảm giá”, vì nó khá lạ lùng nhưng được biết đến chính thức ở Anh, sẽ giảm đi khi bị cáo giữ càng lâu trước khi thừa nhận họ đã làm điều đó.)

Phải làm gì?

Đây là mối đe dọa nội bộ thứ hai chúng tôi đã viết về tháng này, vì vậy chúng tôi sẽ lặp lại lời khuyên mà chúng tôi đã đưa ra trước đây:

• Phân chia và chinh phục. Cố gắng tránh các tình huống mà các quản trị viên hệ thống riêng lẻ có quyền truy cập tự do vào mọi thứ. Điều này khiến các nhân viên lừa đảo khó dàn dựng và thực hiện tội phạm mạng “nội gián” mà không thu hút người khác tham gia vào kế hoạch của họ, và do đó có nguy cơ bị lộ sớm.
• Giữ các bản ghi bất biến. Trong trường hợp này, Liles dường như không thể xóa bằng chứng cho thấy ai đó đã giả mạo email của người khác, dẫn đến việc anh ta bị bắt. Cố gắng hết sức có thể để bất kỳ ai, dù là người trong cuộc hay người ngoài cuộc, can thiệp vào lịch sử mạng chính thức của bạn.
• Luôn luôn đo lường, không bao giờ giả định. Nhận xác nhận độc lập, khách quan về yêu cầu bảo mật. Phần lớn các quản trị viên hệ thống đều trung thực, không giống như Ashley Liles, nhưng rất ít người trong số họ luôn đúng 100%.
  

  ---

  LUÔN ĐO LƯỜNG, KHÔNG BAO GIỜ ĐÁNH GIÁ

  Thiếu thời gian hoặc kiến ​​thức chuyên môn để xử lý các mối đe dọa an ninh mạng?
  Bạn lo lắng rằng an ninh mạng sẽ khiến bạn mất tập trung vào tất cả những việc khác mà bạn cần làm?

  Hãy xem Sophos Managed Detection and Response:
  Tìm kiếm, phát hiện và phản ứng mối đe dọa 24/7  ▶

  ---

  TÌM HIỂU THÊM VỀ CÁCH PHẢN ĐỐI CÁC TẤN CÔNG

  Một lần nữa cho đến khi vi phạm, các bạn thân mến, một lần nữa!

  Peter Mackenzie, Giám đốc Ứng phó Sự cố tại Sophos, nói về cuộc chiến chống tội phạm mạng ngoài đời thực trong một phiên sẽ báo động, giải trí và giáo dục bạn, tất cả đều ở mức độ bình đẳng. (Bảng điểm đầy đủ có sẵn.)

  Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

  ---

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
• nguồn: https://nakedsecurity.sophos.com/2023/05/24/ransomware-tales-the-mitm-attack-that-really-had-a-man-in-the-middle/