Les chercheurs en sécurité signalent des e-mails sollicitant des initiés de l'entreprise pour installer le Démon (noir Uni) ransomware sur les réseaux de leurs organisations.
Acteur de menace nigérian derrière la campagne
Selon un rapport d'Abnormal Security, un acteur de menace nigérian essaie de recruter les employés d'une organisation pour déployer le ransomware Black Kingdom pour une partie des bénéfices de la rançon.
"En août 12, 2021, nous avons identifié et bloqué un certain nombre d'e-mails envoyés à des clients d'Abnormal Security les invitant à devenir complices d'un stratagème de menace interne. L'objectif était qu'ils infectent les réseaux de leur entreprise avec des ransomwares. Ces e-mails prétendent provenir d'une personne ayant des liens avec le groupe de ransomware DemonWare," les chercheurs ont déclaré dans un récent rapport.
Le démon ransomware, également connu sous le nom de ransomware DemonWare et Black Kingdom existe depuis plusieurs années, les chercheurs ont ajouté. Plus tôt cette année, le ransomware a été déployé dans des attaques impliquant CVE-2021-27065, l'un des quatre zero-days dans Microsoft Exchange Server annoncés en mars.
Dans la dernière campagne du ransomware, l'acteur de la menace encourage l'employé à déployer la menace sur un ordinateur de l'entreprise ou un serveur Windows. En échange de ça, l'employé recevrait $1 millions en Bitcoin, ou 40% du $2.5 millions de rançon.
« L'employé est informé qu'il peut lancer le ransomware physiquement ou à distance. L'expéditeur a fourni deux méthodes pour les contacter si l'employé est intéressé : un compte de messagerie Outlook et un nom d'utilisateur Telegram.,” Sécurité anormale découverte.
Les chercheurs d'Abnormal Security ont fait exactement cela pour en savoir plus sur l'acteur de la menace et la campagne. Ils ont renvoyé un message indiquant qu'ils avaient consulté l'e-mail et ont demandé ce qu'ils devaient faire pour aider, ils ont rapporté.
« Une demi-heure plus tard, l'acteur a répondu et a réitéré ce qui était inclus dans l'e-mail initial, suivi d'une question pour savoir si nous serions en mesure d'accéder au serveur Windows de notre fausse entreprise,” les chercheurs ont écrit. "Bien sûr, notre personnage fictif aurait accès au serveur, nous avons donc répondu que nous le pouvions et avons demandé comment l'acteur nous enverrait le ransomware.
Les chercheurs ont continué à communiquer pendant cinq jours avec les acteurs de la menace comme s'ils étaient prêts à faire partie de l'escroquerie. « Parce que nous avons pu dialoguer avec lui, nous avons mieux compris ses motivations et sa tactique," ils ont écrit dans le rapport.
Pour tester les opérateurs de ransomware, les chercheurs ont créé une personne fictive qui est entrée en contact avec les criminels. L'acteur de la menace a envoyé aux chercheurs deux liens pour un fichier exécutable via les sites de partage de fichiers WeTransfer et Mega.nz. Une analyse a confirmé que le fichier était bien un ransomware.
« Tout au long de la conversation, l'acteur a essayé à plusieurs reprises d'atténuer les hésitations que nous aurions pu avoir en nous assurant que nous ne nous ferions pas prendre, puisque le ransomware chiffrerait tout sur le système. Selon l'acteur, cela inclurait toute vidéosurveillance (télévision en circuit fermé) fichiers pouvant être stockés sur le serveur," le rapport a révélé.
« Les renseignements sur les menaces comme celui-ci nous aident à mieux comprendre la situation dans son ensemble avec un contexte supplémentaire, ce que nous ne pouvons pas faire en examinant uniquement les indicateurs traditionnels de compromission et les données brutes.,” l'équipe a conclu.