I ricercatori di sicurezza stanno segnalando e-mail che sollecitano gli addetti ai lavori dell'azienda a installare il Demone (nero Unito) ransomware sulle reti delle loro organizzazioni.
Attore minaccioso nigeriano dietro la campagna
Secondo un rapporto di Abnormal Security, un attore di minacce nigeriano sta cercando di reclutare dipendenti di un'organizzazione per distribuire il ransomware Black Kingdom per una parte dei profitti del riscatto.
"In agosto 12, 2021, abbiamo identificato e bloccato una serie di e-mail inviate ai clienti di Abnormal Security chiedendo loro di diventare complici di uno schema di minacce interne. L'obiettivo era per loro di infettare le reti delle loro aziende con ransomware. Queste e-mail affermano di provenire da qualcuno con legami con il gruppo ransomware DemonWare,” hanno detto i ricercatori in un recente rapporto.
Il ransomware demone, noto anche come DemonWare e Black Kingdom ransomware è in circolazione da diversi anni, i ricercatori hanno aggiunto. All'inizio di quest'anno, il ransomware è stato distribuito in attacchi che coinvolgono CVE-2021-27065, uno dei quattro zero-day di Microsoft Exchange Server annunciati a marzo.
Nell'ultima campagna del ransomware, l'attore della minaccia sta incoraggiando il dipendente a distribuire la minaccia su un computer aziendale o su un server Windows. In cambio di quello, il dipendente riceverebbe $1 milioni in Bitcoin, o 40% del $2.5 milioni di riscatto.
"Al dipendente viene detto che può lanciare il ransomware fisicamente o da remoto. Il mittente ha fornito due metodi per contattarli se il dipendente è interessato: un account di posta elettronica di Outlook e un nome utente di Telegram,"Sicurezza anomala scoperta.
I ricercatori di Abnormal Security hanno fatto proprio questo per saperne di più sull'attore della minaccia e sulla campagna. Hanno inviato un messaggio indicando che avevano visualizzato l'e-mail e hanno chiesto cosa dovevano fare per aiutare, hanno riferito.
“Mezz'ora dopo, l'attore ha risposto e ribadito ciò che era incluso nell'e-mail iniziale, seguito da una domanda se saremmo in grado di accedere al server Windows della nostra azienda falsa,"hanno scritto i ricercatori. "Certo, la nostra persona fittizia avrebbe accesso al server, quindi abbiamo risposto che potevamo e abbiamo chiesto come l'attore ci avrebbe inviato il ransomware".
I ricercatori hanno continuato a comunicare per cinque giorni con gli attori della minaccia come se fossero disposti a far parte della truffa. “Perché siamo stati in grado di interagire con lui, siamo riusciti a capire meglio le sue motivazioni e tattiche,” hanno scritto nel rapporto.
Per testare gli operatori ransomware, i ricercatori hanno creato una persona fittizia che è entrata in contatto con i criminali. L'attore della minaccia ha inviato ai ricercatori due collegamenti per un file eseguibile tramite i siti di condivisione file WeTransfer e Mega.nz. Un'analisi ha confermato che il file era effettivamente un ransomware.
“Durante la conversazione, l'attore ha ripetutamente cercato di alleviare eventuali esitazioni che potremmo aver avuto assicurandoci che non saremmo stati scoperti, poiché il ransomware crittograferebbe tutto sul sistema. Secondo l'attore, questo includerebbe qualsiasi CCTV (televisione a circuito chiuso) file che possono essere memorizzati sul server," il rapporto ha rivelato.
"Un'intelligence sulle minacce come questa ci aiuta a comprendere meglio il quadro più ampio con un contesto aggiuntivo, cosa che non siamo in grado di fare esaminando solo gli indicatori tradizionali di compromesso e i dati grezzi,” ha concluso la squadra.