Los investigadores de seguridad están informando correos electrónicos solicitando información privilegiada de la compañía para instalar el Demonio (Negro Unido) ransomware en las redes de sus organizaciones.
Actor de amenazas nigeriano detrás de la campaña
Según un informe de Abnormal Security, un actor de amenazas nigeriano está tratando de reclutar a los empleados de una organización para implementar el ransomware Black Kingdom a cambio de una parte de las ganancias del rescate.
"En Agosto 12, 2021, Identificamos y bloqueamos varios correos electrónicos enviados a clientes de Seguridad anormal solicitándolos que se conviertan en cómplices de un esquema de amenazas internas.. El objetivo era que infectaran las redes de sus empresas con ransomware.. Estos correos electrónicos supuestamente provienen de alguien con vínculos con el grupo de ransomware DemonWare,”Dijeron los investigadores en un informe reciente.
El demonio ransomware, también conocido como DemonWare y Black Kingdom ransomware ha existido durante varios años, agregaron los investigadores. A principios de este año, el ransomware se implementó en ataques que involucraron CVE-2021-27065, uno de los cuatro días cero en Microsoft Exchange Server anunciados en marzo.
En la última campaña del ransomware, el actor de la amenaza está alentando al empleado a implementar la amenaza en una computadora de la empresa o en un servidor Windows. A cambio de eso, el empleado recibiría $1 millones en Bitcoin, o 40% del $2.5 millones de rescate.
“Se le dice al empleado que puede lanzar el ransomware física o remotamente. El remitente proporcionó dos métodos para comunicarse con ellos si el empleado está interesado: una cuenta de correo electrónico de Outlook y un nombre de usuario de Telegram.,"Seguridad anormal descubierta.
Los investigadores de Seguridad anormal hicieron precisamente eso para obtener más información sobre el actor de amenazas y la campaña.. Enviaron un mensaje de regreso indicando que habían visto el correo electrónico y preguntaron qué tenían que hacer para ayudar., ellos informaron.
"Media hora después, El actor respondió y reiteró lo que se incluyó en el correo electrónico inicial., seguido de una pregunta sobre si podríamos acceder al servidor Windows de nuestra empresa falsa,"Escribieron los investigadores. "Por supuesto, nuestra persona ficticia tendría acceso al servidor, así que respondimos que podíamos y preguntamos cómo el actor nos enviaría el ransomware ".
Los investigadores continuaron comunicándose durante cinco días con los actores de amenazas como si estuvieran dispuestos a ser parte de la estafa.. "Porque pudimos relacionarnos con él, pudimos entender mejor sus motivaciones y tácticas,"Escribieron en el informe.
Para probar los operadores de ransomware, los investigadores crearon una persona ficticia que se puso en contacto con los criminales. El actor de amenazas envió a los investigadores dos enlaces para un archivo ejecutable a través de los sitios de intercambio de archivos WeTransfer y Mega.nz. Un análisis confirmó que el archivo era efectivamente ransomware.
"A lo largo de la conversación, el actor trató repetidamente de aliviar cualquier duda que pudiéramos haber tenido asegurándonos de que no nos atraparan, ya que el ransomware encriptaría todo en el sistema. Según el actor, esto incluiría cualquier circuito cerrado de televisión (circuito cerrado de televisión) archivos que pueden estar almacenados en el servidor," El informe reveló.
"La inteligencia de amenazas como esta nos ayuda a comprender mejor el panorama general con un contexto adicional, algo que no podemos hacer si solo examinamos los indicadores tradicionales de compromiso y los datos sin procesar.,”Concluyó el equipo.