Golpe alicia funcionários insatisfeitos para implementação de Ransomware

Invasores criminosos tentarão quase tudo para entrar em uma empresa lucrativa e garantir um pagamento de um milhão de dólares com uma infecção de ransomware. Aparentemente, agora isso inclui enviar e-mails diretamente aos funcionários e pedir-lhes para liberar o malware dentro da rede de seu empregador em troca de uma porcentagem de qualquer valor de resgate pago pela empresa vítima.

Invasores criminosos estão tentando quase tudo para entrar em uma empresa lucrativa e garantir um pagamento como resgate com uma infecção de ransomware. Aparentemente, agora isso inclui enviar e-mails diretamente aos funcionários e pedir-lhes para liberar o malware dentro da rede de seu empregador em troca de uma porcentagem de qualquer valor de resgate pago pela empresa vítima.

Invasores criminosos tentarão quase tudo para entrar em uma empresa lucrativa e garantir um pagamento de um milhão de dólares com uma infecção de ransomware. Aparentemente, agora isso inclui enviar e-mails diretamente aos funcionários e pedir-lhes para liberar o malware dentro da rede de seu empregador em troca de uma porcentagem de qualquer valor de resgate pago pela empresa vítima.
Exemplo de email enviado por um golpista

Crane Hassold, diretor de inteligência de ameaças da Abnormal Security, descreveu o que aconteceu depois que ele adotou uma persona falsa e respondeu à proposta na captura de tela acima. Ofereceu-se para pagar a ele 40 por cento de um pedido de resgate de um milhão de dólares se ele concordasse em lançar o malware dentro da rede de seu empregador.

Esse golpista em particular era bastante falador e, ao longo de cinco dias, descobriu-se que o correspondente de Hassold foi forçado a mudar sua abordagem inicial no planejamento para implantar a cepa do ransomware DemonWare, que está disponível gratuitamente no GitHub.

“De acordo com esse ator, ele pretendia originalmente enviar a seus alvos direcionados – todos os executivos de alto escalão – e-mails de phishing para comprometer suas contas, mas depois de não obter sucesso, ele se voltou para esse novo pretexto para lançar o ransomware”, escreveu Hassold.

A Abnormal Security documentou como vinculou o e-mail a um jovem na Nigéria que reconheceu que estava tentando economizar dinheiro para ajudar a financiar uma suposta nova rede social que estaria construindo. Para acessar os funcionários das empresas o atacante estaria usando as redes sociais como Linkedin, que facilitaria a identificação e contato direto com colaboradora internos da empresa alvo.

Este tipo de abordagem é bem crítica, apesar de amadora perto de outros casos de ataques de Ransomware mais complexos, mas não deixa dúvidas quanto à importância do treinamento e conscientização dos funcionários. Ela atinge pessoas que podem ter acesso aos sistemas diretamente, ou seja, é um risco que deve ser avaliado e mitigado.

Embora os pagamentos multimilionários de ransomware estejam monopolizando as manchetes, de longe as maiores perdas financeiras vinculadas ao crime cibernético a cada ano resultam dos chamados Business Email Compromise (BEC) ou CEO Scams, nos quais criminosos baseados principalmente na África e no Sudeste Asiático buscam falsificar as comunicações de executivos da empresa-alvo em uma tentativa de iniciar transferências eletrônicas internacionais não autorizadas.

De acordo com os números mais recentes (PDF) divulgados pelo FBI Internet Crime Complaint Center (IC3), as perdas relatadas de golpes de BEC continuam a ofuscar outras categorias de perda de crimes cibernéticos, aumentando para US $ 1,86 bilhão em 2020.

Invasores criminosos tentarão quase tudo para entrar em uma empresa lucrativa e garantir um pagamento de um milhão de dólares com uma infecção de ransomware. Aparentemente, agora isso inclui enviar e-mails diretamente aos funcionários e pedir-lhes para liberar o malware dentro da rede de seu empregador em troca de uma porcentagem de qualquer valor de resgate pago pela empresa vítima.
Imagem: FBI

“Saber que o ator é nigeriano realmente fecha o círculo completo da história e fornece algum contexto notável para as táticas usadas no e-mail inicial que identificamos”, escreveu Hassold. “Durante décadas, os golpistas da África Ocidental, localizados principalmente na Nigéria, aperfeiçoaram o uso da engenharia social na atividade do crime cibernético.”

“Embora o ataque cibernético mais comum que vemos de atores nigerianos (e o ataque mais prejudicial globalmente) seja o comprometimento de e-mail comercial (BEC), faz sentido que um ator nigeriano recorra ao uso de técnicas de engenharia social semelhantes, mesmo quando tenta implantar com sucesso um ataque mais tecnicamente sofisticado como ransomware ”, concluiu Hassold.

Outros ataques oriundos de engenharia social que chegam por e-mail daquela região já rondavam e ainda rondam o Brasil, como o caso de pagamentos de heranças internacionais ou empréstimos facilitados. Agora, os funcionários são os alvos e podem estar sendo cooptados para realizar um crime cibernético, seja pela busca de um retorno financeiro rápido, ou seja por certa vingança por estarem insatisfeitos com seu local de trabalho. A conscientização é o melhor tratamento desse tipo de risco. Vamos detalhar um pouco mais sobre esse tema.

Não peça demissão do seu trabalho

Cibercriminosos perseguindo funcionários insatisfeitos não é uma novidade. As grandes empresas há muito se preocupam com a ameaça real de funcionários insatisfeitos que criam identidades em sites darknet e depois se oferecem para destruir a rede de seus empregadores mediante o pagamento de uma taxa (para saber mais sobre isso, consulte minha história de 2016, Rise of the Darknet Stokes Fear of the Insider).

Na verdade, talvez esse golpista nigeriano empreendedor esteja apenas acompanhando as tendências atuais. Várias gangues afiliadas de ransomware estabelecidas que recentemente mudaram sua postura e marca para novas abordagens parecem ter eliminado o modelo de afiliação em favor de apenas comprar acesso ilícito a redes corporativas.

Por exemplo, a gangue de ransomware-as-a-service do Lockbit 2.0 inclui, na verdade, uma solicitação para ação dos insiders no papel de parede da área de trabalho deixado em sistemas criptografados com o malware.

“Você gostaria de ganhar milhões de dólares? Nossa empresa adquire acesso a redes de várias empresas, bem como informações privilegiadas que podem ajudá-lo a roubar os dados mais valiosos de qualquer empresa ”, diz o anúncio incomum da LockBit. “Você pode nos fornecer dados contábeis de acesso a qualquer empresa, por exemplo, login e senha para RDP, VPN, e-mail corporativo, etc. Abra nossa carta no seu e-mail. Inicie o vírus fornecido em qualquer computador de sua empresa. As empresas nos pagam a execução do resgate para a descriptografia de arquivos e prevenção de vazamento de dados.”

Invasores criminosos tentarão quase tudo para entrar em uma empresa lucrativa e garantir um pagamento de um milhão de dólares com uma infecção de ransomware. Aparentemente, agora isso inclui enviar e-mails diretamente aos funcionários e pedir-lhes para liberar o malware dentro da rede de seu empregador em troca de uma porcentagem de qualquer valor de resgate pago pela empresa vítima.
Imagem: Sophos

Da mesma forma, a recém-formada gangue de ransomware BlackMatter iniciou sua presença nos fóruns de crimes cibernéticos com o tópico despretensioso “Comprando / monetizando seu acesso a redes corporativas”. O resto da postagem diz:

Estamos buscando acesso a redes corporativas nos seguintes países:

– Os Estados Unidos

– Canadá

– Austrália

– Reino Unido

Todas as linhas de negócios, exceto:

– Cuidados de saúde

– Entidades governamentais.

Requisitos:

– Faturamento de acordo com ZoomInfo: mais de 100 milhões.

– Número de hosts: 500 a 15.000.

– Não aceitamos redes nas quais mais alguém já tentou trabalhar.

Duas opções de cooperação:

– Compramos redes: 3 a 100k.

– Nós os monetizamos (sujeito a negociação caso a caso).

Como trabalhamos:

Você seleciona uma opção de cooperação. -> Você fornece acesso à rede. -> Nós verificamos. -> Aceitamos ou não (dependendo se cumpre os requisitos).

Seja qual for o pretexto utilizado pelos atacantes, a conscientização de nossos funcionários, amigos e familiares é fundamental para limitar este tipo de crime. Ao se alinhar a este tipo de crime, o funcionário estará assumindo parcela das ações e pode ser responsabilizado pelos danos. A divulgação de temas como phishing, spear phishing, engenharia social e como funciona um ataque de Ransomware devem fazer parte dos treinamentos constantes das empresas.

Fonte: krebsonsecurity.com

Posts relacionados: Como age um ransomware e como evitá-lo / 5 dicas para prevenir e mitigar ataques de ransomware e Recomendações para proteção de dados contra violações e ataques de ransomware