Technológia

Ransomware bandák keresik az emberek képességeit a tárgyalásokhoz

A számítógépes bűnözők egyre növekvő kifinomultsága most megmutatkozik abban, hogy a ransomware-műveletek miként állítják össze legénységüket, felkutatva a speciális tehetségeket és készségeket. Valójában egyes bandák a vállalatokra hasonlítanak szerteágazó szerepek és kihelyezett tárgyalások áldozatokkal, a Kela, fenyegetés-elhárítási szolgáltatásokat nyújtó szolgáltató.

Victoria Kivilevich, a Kela elemzője és a csapat többi tagja több mint egy évet töltött a sötét webes kiber-munkahelyi ökoszisztéma nyomon követésén, és gyorsan megállapította a négy fő szakterület létezését:

  • Kódolás vagy rossz képességek megszerzése a szükséges képességekkel.
  • Megcélzott áldozatok megfertőzése.
  • Az áldozatok rendszereihez való hozzáférés fenntartása, valamint az adatok kiszűrése és feldolgozása.
  • Az ellopott adatok bevételszerzése, beváltása, eladása vagy más módon történő bevételszerzése.

E szakaszok mindegyike különféle rosszindulatú tevékenységeket foglal magában, amelyekben a különféle készségek jól jöhetnek, és Kivilevich elmondta, hogy csapata azt találta, hogy amikor kifejezetten a ransomware-ellátási láncra figyelnek, sok szereplő koncentrál a kitermelési rés köré, és arra összpontosít, hogy kiváltságait a veszélyeztetetten belül növelje. hálózat és a monetizációs rés, ahol a szereplők részt vesznek a váltságdíjak kitermelésében az áldozati tárgyalások során.

Különösen nagyra becsülik azokat az embereket, akik megfelelő és nem szükségszerűen technikai képességekkel rendelkeznek a váltságdíjas tárgyalások sikeréhez – állapította meg Kela. „Több bejegyzést figyeltünk meg [on the dark web] a ransomware ökoszisztémában új szerepet játszó tárgyalókat tárgyalnak, akiknek célja az áldozat váltságdíj fizetésére kényszerítése bennfentes információk és fenyegetések felhasználásával ”- mondta Kivilevich.

„Az áldozatok tárgyalókat kezdtek használni – míg néhány évvel ezelőtt még nem volt ilyen szakma, most igény van tárgyalási szolgáltatásokra. A Ransomware-tárgyalási szakemberek együttműködnek a biztosító társaságokkal, és nincsenek ügyfeleik hiánya. A Ransom színészeinek is fel kellett fejleszteniük a játékukat, hogy jó árrést érjenek el.

„Mivel a váltságdíjas szereplők többsége valószínűleg nem angol anyanyelvű, a kényesebb tárgyalásokhoz – különös tekintettel a nagyon magas költségvetésekre és az összetett üzleti helyzetekre – jobb angol nyelvre volt szükség. Mikor REvil képviselője a csapat „támogató” tagját kereste tárgyalások megtartására, külön megemlítették a „beszélgetős angol” szót. Ez nem új eset: a színészeket érdekli, hogy az angol anyanyelvűek lándzsás adathalász kampányokhoz használják őket. “

Kivilevich több szálat talált az orosz nyelvű földalatti fórumokon, ahol a számítógépes bűnözők tárgyalókat kerestek és megbeszélték munkájukat.

Az alábbi képen – amelyet Kela a Google szolgáltatásai segítségével lefordított orosz nyelvről – egy fenyegetett szereplő, aki már kitartást tanúsított az áldozatok hálózatában Szaúd-Arábiában, úgy tűnik, hogy bennfentest vagy kapcsolattartót kér a közel-keleti kiberbiztonsági vállalatoknál, akik átadhatja az áldozat informatikai vezetőinek elérhetőségeit a tárgyalások lefolytatása érdekében. A javadalmazás ebben az esetben 1–5 millió dollár (720 000–3,6 millió font, vagy 840 000–4,22 millió euró), vagy valószínűleg a váltságdíj 20% -a lenne.


És ahogy egy törvényes szervezet könyvelhet el egy vállalkozót, akiről kiderül, hogy rosszul áll, a ransomware bandák rossz döntéseket hozhatnak a felvételről, és néhány fórumon Kela bizonyítékot talált a ransomware bandák és bérelt fegyvereik közötti vitákra. (lásd az alábbi képet).

Az egyik dokumentált esetben a Conti leányvállalata és a felbérelt tárgyaló fél közötti kommunikáció nyílt vitává vált a 2021. áprilisi zsarolási kísérletben. a floridai Broward County Public School District-ből.


A tárgyaló azt állította, hogy bennfentes információikkal rendelkeznek, amelyek az áldozatot fizetésre kényszerítik – 40 millió dollárt követeltek, ami önmagában is hatalmas túlterhelést jelentett -, de aztán Conti leányvállalatát azzal vádolták, hogy beavatkozott a tárgyalásokba és folytatta erőfeszítéseiket. Conti ellenkezett azzal, hogy a tárgyalókat szakszerűtlen magatartással vádolta.

Mások aztán mérlegelték a fórumot tapasztalataikkal, REvil-lel – jelenleg a központjában a kibontakozó Kaseya incidens – azzal vádolják a tárgyalót, hogy csaló.

Kela jelentése részletesen bemutatja néhány olyan speciális szerepet, amelyekért a ransomware-üzemeltetők készek nagy összegeket fizetni, például hozzáférési brókerek, behatolással foglalkozó szakemberek (vagy behatolás-tesztelők), valamint a kapcsolódó elosztott szolgáltatásmegtagadási (DDoS) támadások botneteinek tulajdonosai. Teljesen itt olvasható.