ブラックキングダムハッカーは、ランサムウェアを展開するために従業員を募集しようとします

セキュリティ研究者は、会社の内部関係者にインストールを求める電子メールを報告しています 悪魔 (ブラックキングダム) ランサムウェア 組織のネットワーク上.

キャンペーンの背後にあるナイジェリアの脅威俳優

AbnormalSecurityのレポートによると, ナイジェリアの脅威アクターが、身代金の利益を削減するためにブラックキングダムランサムウェアを配備するために組織の従業員を募集しようとしています.

"8月に 12, 2021, インサイダー脅威スキームの共犯者になるように要請するAbnormalSecurityの顧客に送信される多数の電子メールを特定してブロックしました. 目標は、企業のネットワークをランサムウェアに感染させることでした。. これらの電子メールは、DemonWareランサムウェアグループと関係のある誰かから送信されたと主張しています,」研究者は最近の報告で言った.

悪魔のランサムウェア, DemonWareおよびBlackKingdomランサムウェアとも呼ばれ、数年前から存在しています, 研究者は付け加えた. 今年の初め, ランサムウェアは、以下を含む攻撃に配備されました CVE-2021-27065, 3月に発表されたMicrosoftExchangeServerの4つのゼロデイの1つ.

ランサムウェアの最新キャンペーン, 脅威アクターは、従業員に会社のコンピューターまたはWindowsサーバーに脅威を展開するように促しています。. それと引き換えに, 従業員が受け取る $1 ビットコインで百万, また 40% の $2.5 百万人の身代金.

「従業員は、ランサムウェアを物理的またはリモートで起動できると言われています. 送信者は、従業員が興味を持っている場合に連絡するための2つの方法を提供しました。Outlookの電子メールアカウントとTelegramのユーザー名です。,」異常なセキュリティが発見されました.

Abnormal Securityの研究者は、脅威アクターとキャンペーンについて詳しく知るためにまさにそれを行いました. 彼らは、電子メールを閲覧したことを示すメッセージを送り返し、支援するために何をする必要があるかを尋ねました。, 彼らは報告した.

「30分後, 俳優は応答し、最初の電子メールに含まれていたものを繰り返しました, 続いて、偽の会社のWindowsサーバーにアクセスできるかどうかについての質問があります。,」研究者は書いた. "もちろん, 私たちの架空のペルソナはサーバーにアクセスできます, そこで、私たちはできると答え、俳優がランサムウェアを私たちに送る方法を尋ねました。」

研究者は、あたかも詐欺の一部であるかのように、5日間にわたって脅威の攻撃者と通信を続けました。. 「私たちは彼と関わることができたので, 私たちは彼の動機と戦術をよりよく理解することができました,」彼らはレポートに書いた.

ランサムウェアオペレーターをテストするには, 研究者たちは、犯罪者と接触する架空の人物を作成しました. 攻撃者は、ファイル共有サイトWeTransferとMega.nzを介して、実行可能ファイルへの2つのリンクを研究者に送信しました。. 分析により、ファイルが実際にランサムウェアであることが確認されました.

「会話を通して, 俳優は、私たちが捕まらないようにすることで、私たちが持っていたかもしれない躊躇を繰り返し軽減しようとしました, ランサムウェアはシステム上のすべてを暗号化するため. 俳優によると, これにはCCTVが含まれます (監視カメラ) サーバーに保存される可能性のあるファイル,」 レポートが明らかにした.

「このような脅威インテリジェンスは、追加のコンテキストを使用して全体像をよりよく理解するのに役立ちます。これは、侵害の従来の指標と生データを調べるだけでは不可能なことです。,」チームは結論を出しました.