Sicherheitsforscher melden E-Mails, in denen Firmeninsider aufgefordert werden, die Dämon (schwarz Kingdom) Ransomware in den Netzwerken ihrer Organisationen.
Nigerianischer Bedrohungsakteur hinter der Kampagne
Laut einem Bericht von Abnormal Security, Ein nigerianischer Bedrohungsakteur versucht, die Mitarbeiter einer Organisation zu rekrutieren, um die Ransomware Black Kingdom für eine Kürzung der Lösegeldgewinne einzusetzen.
"Im August 12, 2021, Wir haben eine Reihe von E-Mails identifiziert und blockiert, die an Kunden von Abnormal Security gesendet wurden, in denen sie aufgefordert wurden, Komplizen in einem Insider-Bedrohungsschema zu werden. Ziel war es, die Netzwerke ihrer Firmen mit Ransomware zu infizieren. Diese E-Mails sollen von jemandem stammen, der Verbindungen zur DemonWare-Ransomware-Gruppe hat,“, sagten die Forscher in einem kürzlich veröffentlichten Bericht.
Die Demon-Ransomware, auch bekannt als DemonWare und Black Kingdom Ransomware gibt es schon seit mehreren Jahren, die Forscher hinzugefügt. Früher in diesem Jahr, die Ransomware wurde bei Angriffen eingesetzt, bei denen CVE-2021-27065, einer der vier im März angekündigten Zero-Days in Microsoft Exchange Server.
In der neuesten Kampagne der Ransomware, Der Bedrohungsakteur ermutigt den Mitarbeiter, die Bedrohung auf einem Firmencomputer oder Windows-Server bereitzustellen. Im Austausch dafür, der Mitarbeiter würde erhalten $1 Millionen in Bitcoin, oder 40% des $2.5 Millionen Lösegeld.
„Dem Mitarbeiter wird mitgeteilt, dass er die Ransomware physisch oder aus der Ferne starten kann. Der Absender stellte zwei Methoden zur Verfügung, um ihn bei Interesse zu kontaktieren – ein Outlook-E-Mail-Konto und einen Telegramm-Benutzernamen,„Anormale Sicherheit entdeckt.
Forscher von Abnormal Security haben genau das getan, um mehr über den Bedrohungsakteur und die Kampagne herauszufinden. Sie schickten eine Nachricht zurück, die angab, dass sie die E-Mail gelesen hatten, und fragten, was sie tun müssten, um zu helfen, sie berichteten.
„Eine halbe Stunde später, Der Schauspieler antwortete und wiederholte, was in der ursprünglichen E-Mail enthalten war, gefolgt von einer Frage, ob wir auf den Windows-Server unserer gefälschten Firma zugreifen könnten,“ Forscher schrieben. "Natürlich, unsere fiktive Persona hätte Zugriff auf den Server, Also antworteten wir, dass wir könnten und fragten, wie der Schauspieler uns die Ransomware schicken würde.“
Die Forscher kommunizierten fünf Tage lang weiterhin mit den Bedrohungsakteuren, als ob sie bereit wären, Teil des Betrugs zu sein. „Weil wir uns auf ihn einlassen konnten, wir konnten seine Motivationen und Taktiken besser verstehen,“ schrieben sie in dem Bericht.
Um die Ransomware-Betreiber zu testen, die Forscher erschufen eine fiktive Person, die mit den Kriminellen in Kontakt kam. Der Bedrohungsakteur schickte den Forschern zwei Links für eine ausführbare Datei über die Filesharing-Sites WeTransfer und Mega.nz. Eine Analyse bestätigte, dass es sich bei der Datei tatsächlich um Ransomware handelte.
„Während des Gesprächs, der Schauspieler versuchte immer wieder, unser eventuelles Zögern zu mildern, indem er uns versicherte, nicht erwischt zu werden, da die Ransomware alles auf dem System verschlüsseln würde. Laut dem Schauspieler, dies würde jede CCTV einschließen (Closed-Circuit-Fernsehen) Dateien, die auf dem Server gespeichert werden können," Der Bericht zeigte,.
„Bedrohungsinformationen wie diese helfen uns, das Gesamtbild mit zusätzlichem Kontext besser zu verstehen – etwas, das wir nicht erreichen können, wenn wir nur traditionelle Indikatoren für Kompromisse und Rohdaten untersuchen,“, schloss das Team.