завантаження...

Адреса:

місто Львів, 79020, вул. Варшавська, 193

Компанія «Abnormal Security» виявила хакера, який знаходив інсайдерів у великих компаніях і пропонував їм мільйон доларів у біткоїнах, якщо вони допоможуть встановити шифрувальник «Black Kingdom» (інша назва «Demonware») у своїй корпоративній мережі. Це, до речі, 40% від передбачуваного викупу, розмір якого становить 2,5 млн доларів.

Схоже, шахрай надихнувся прикладом розробників вимагача «LockBit 2.0». Він активно вербує корпоративних інсайдерів, які могли б допомогти зламати і зашифрувати мережі компаній. Натомість інсайдерам теж обіцяють «гонорар» у розмірі мільйона доларів, як і в цьому випадку. Збіг? Не думаємо.

Увагу дослідників з «Abnormal Security» привернули численні повідомлення, які зловмисник відправляв у поштові скриньки, захищені платформою компанії.

Річ у тім, що «Black Kingdom» або «Demonware» – опенсорсний проект, код якого доступний на «GitHub». Тож зазвичай його використовують не надто технічно просунуті зловмисники. Однак автор листів стверджував, що це його власний проект, написаний на мові Python.

Дослідникам стало цікаво поспілкуватися зі зловмисником. Він залишав свої контактні дані в листах, тому вони зв’язалися з ним через телеграм під вигаданим ім’ям.

І знаєте що? Хакер клюнув на прийом фахівців! Він повірив, що дослідники – це якась зацікавлена особа, а тому надав доступ до програми‑здирника, яку можна було завантажити з WeTransfer або Mega.nz.

«Зловмисник дав інструкцію, як позбутися від файлу .EXE і видалити його з кошика. Зважаючи на його відповіді, ми зробили висновки, що він 1) передбачає, що у співробітника‑інсайдера буде фізичний доступ до сервера, і 2) він не дуже добре знайомий з цифровою криміналістикою, розслідуваннями і реагуванням на інциденти», – зазначають дослідники.

Що найцікавіше? Зловмисник запевнив «інсайдера», що навіть якщо той потрапить в поле зору камер спостережень, це не страшно, адже його програма‑вимагач зашифрує всі дані, враховуючи і записи з камер.

Дослідники спілкувалися із злочинцем кілька днів. На третій день стало ясно, що хакер досить гнучко підходить до суми бажаного викупу: якщо в листі він говорив про 2,5 млн доларів, то в чаті заявив, що сподівається отримати від компанії хоча б 250 000 доларів, а потім погодився знизити викуп до 120 000 доларів.

Як він обирав жертви?

За словами злочинця, дані для поштових розсилок він збирав через LinkedIn. Він зізнався, що спочатку розсилав фішингові листи керівникам вищої ланки, щоб зламати їхні облікові записи. Але ця затія не увінчалася успіхом. Тоді ж він придумав варіант зі здирником.

Хто ж він?

Ще на початку бесіди фахівці провели дослідження відкритих джерел і зробили висновок, що злочинець може бути нігерійцем. Чому? Бо вони знайшли його дані на сайті, яка займається торгівлею найр (а це нігерійська валюта).

Пізніше це підтвердилося. Злочинець сам розповів, що зараз він намагається створити африканську соціальну мережу і йому потрібні гроші. Хакер навіть надав співрозмовнику посилання на свій профіль в LinkedIn. Щоправда, він швидко зрозумів, що зробив помилку і видалив ці повідомлення з розмови. Але дослідники на те й дослідники: вони встигли зробити скріншоти.