Il termine ransomware viene utilizzato per descrivere qualsiasi tipo di malware (software dannoso) che crittografa o blocca i dati su un dispositivo e richiede il pagamento di un riscatto per decrittografarlo.
Gli attacchi ransomware si sono evoluti nel corso degli anni, con i criminali informatici che utilizzano tecniche sempre più sofisticate per colpire organizzazioni e individui.
Quest'estate, i ricercatori della sicurezza informatica hanno individuato un hacker che cercava di corrompere i dipendenti per distribuire ransomware sui computer della loro azienda.
Corruzione dei dipendenti: cosa è successo?
In agosto, Sicurezza anormale ha notato che i dipendenti hanno ricevuto e-mail che li invitavano a diventare complici di un attacco ransomware. L'attore della minaccia ha inviato un'e-mail ai dipendenti dicendo loro che sarebbero stati pagati il 40% del riscatto di $ 2,5 milioni distribuire ransomware sui computer della propria azienda, fisicamente o in remoto, e lasciare il contatto informazione.
I criminali informatici di solito distribuiscono ransomware tramite allegati di posta elettronica o tramite configurazioni di reti private virtuali (VPN). Naturalmente, i ricercatori di Abnormal Security erano curiosi di conoscere i metodi di questo particolare attore di minacce, quindi hanno deciso di presentarsi come un dipendente disposto a partecipare al programma e hanno contattato il truffatori.
L'attore della minaccia risponde
L'autore della minaccia ha risposto rapidamente, in meno di un'ora, chiedendo al presunto dipendente se sarebbe stato in grado di accedere al server Windows della propria azienda. I ricercatori hanno risposto affermativamente, spingendo il criminale informatico a inviare collegamenti a siti di trasferimento di file, WeTransfer e Mega.
I ricercatori hanno scaricato il file che ha inviato, "Walletconnect (1).exe", e hanno confermato che si trattava effettivamente di un ransomware, la variante DemonWare. Giusto per essere chiari: non consigliamo a nessuno di scaricare nulla di sospetto inviato da uno sconosciuto.
Ancora fingendosi un dipendente, i ricercatori hanno detto all'attore delle minacce che la loro azienda aveva un fatturato annuo di 50 milioni di dollari. L'autore della minaccia ha quindi ridotto l'importo del riscatto da $ 2,5 milioni a $ 120.000.
IMPARENTATO: I 5 più grandi attacchi ransomware del 2021 (finora!)
L'attore delle minacce ha ripetutamente cercato di convincere il presunto dipendente che il ransomware avrebbe crittografato tutto il sistema senza lasciare tracce, dimostrando che o è avventato o semplicemente non ha molta dimestichezza con il digitale forense.
Il criminale informatico ha anche affermato di aver programmato il ransomware utilizzando il linguaggio di programmazione Python, il che era una bugia: tutto il codice per DemonWare è disponibile gratuitamente online.
DemonWare non è così pericoloso come, ad esempio, Ryuk ransomware, ma il fatto che praticamente chiunque possa facilmente trovare il codice online e provare a distribuire il malware suggerisce che si tratta di una minaccia da prendere sul serio.
Quindi, come ha fatto l'autore della minaccia a ottenere le informazioni sull'obiettivo?
L'attore della minaccia, per sua stessa ammissione, ha inviato dirigenti di alto livello presso l'azienda email di phishing nel tentativo di compromettere i loro account.
Quando questo fallì, ottenne le informazioni di contatto per i dipendenti da LinkedIn e poi inviò e-mail offrendo una quota dei profitti per la distribuzione di ransomware.
Chi è il criminale informatico?
L'autore della minaccia è stato così disattento da condividere informazioni su di sé con i ricercatori di Abnormal Security, incluso il suo nome completo e la posizione.
Apparentemente residente in Nigeria, si è scherzosamente descritto come "il prossimo Mark Zuckerberg", rivelando che sta cercando di costruire una piattaforma di social network africana.
Ha anche affermato di avere legami con il gruppo ransomware DemonWare, noto anche come Black Kingdom e DEMON.
Chiaramente, questa persona non è esattamente una mente criminale, ma il suo tentativo di trasformare i dipendenti in minacce interne è stato notevole e suggerisce che questa potrebbe essere una tendenza emergente.
Protezione contro gli attacchi
È facile vedere come un criminale informatico più competente potrebbe causare gravi danni a un'organizzazione attraverso l'ingegneria sociale facendosi strada nei sistemi interni.
È imperativo che i datori di lavoro istruiscano i lavoratori sugli hacker, ma a volte non è sufficiente. Oltre a investire nella sicurezza, i datori di lavoro preoccupati per le minacce interne dovrebbero prendere in considerazione la possibilità di esaminare il software di monitoraggio dei dipendenti.
Finché non è invasivo e sicuro, il software di monitoraggio può essere un ottimo modo per garantire che un'azienda abbia un ulteriore livello di protezione dagli attacchi informatici, soprattutto oggi che milioni di persone in tutto il mondo lavorano da casa.
Sempre più datori di lavoro utilizzano software di sorveglianza dei dipendenti per tenere sotto controllo i lavoratori. È solo una moda passeggera o una tendenza permanente?
Leggi Avanti
- Sicurezza
- ransomware
- Sicurezza online
- Lavoro a distanza
Damir è uno scrittore e giornalista freelance il cui lavoro si concentra sulla sicurezza informatica. Oltre alla scrittura, ama leggere, ascoltare musica e film.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per consigli tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti