Beveiligingsonderzoekers melden e-mails waarin insiders van bedrijven worden gevraagd om de Demon (Black Koninkrijk) ransomware op de netwerken van hun organisaties.
Nigeriaanse dreigingsacteur achter de campagne
Volgens een rapport van Abnormal Security, een Nigeriaanse dreigingsactor probeert de werknemers van een organisatie te rekruteren om de Black Kingdom-ransomware in te zetten voor een verlaging van de losgeldwinst.
"In augustus 12, 2021, we hebben een aantal e-mails geïdentificeerd en geblokkeerd die zijn verzonden naar klanten van Abnormal Security waarin ze werden gevraagd om medeplichtig te worden aan een insider-bedreigingsschema. Het doel was dat ze de netwerken van hun bedrijf zouden infecteren met ransomware. Deze e-mails zouden afkomstig zijn van iemand met banden met de DemonWare ransomware-groep,” zeiden de onderzoekers in een recent rapport.
De demon-ransomware, ook bekend als DemonWare en Black Kingdom ransomware bestaat al enkele jaren, de onderzoekers toegevoegd. Eerder dit jaar, de ransomware werd ingezet bij aanvallen waarbij: CVE-2021-27065, een van de vier zero-days in Microsoft Exchange Server die in maart zijn aangekondigd.
In de nieuwste campagne van ransomware, de dreigingsactor moedigt de werknemer aan om de dreiging in te zetten op een bedrijfscomputer of Windows-server. In ruil daarvoor, de werknemer zou ontvangen $1 miljoen in Bitcoin, of 40% van de $2.5 miljoen losgeld.
“De werknemer krijgt te horen dat ze de ransomware fysiek of op afstand kunnen lanceren. De afzender bood twee methoden om contact met hen op te nemen als de werknemer geïnteresseerd is: een Outlook-e-mailaccount en een Telegram-gebruikersnaam,” Abnormale beveiliging ontdekt.
Onderzoekers van Abnormal Security deden precies dat om meer te weten te komen over de dreigingsactor en de campagne. Ze stuurden een bericht terug waarin stond dat ze de e-mail hadden bekeken en vroegen wat ze moesten doen om te helpen, zij meldden.
“Een half uur later, de acteur reageerde en herhaalde wat er in de eerste e-mail stond, gevolgd door een vraag of we toegang zouden hebben tot de Windows-server van ons nepbedrijf,” schreven onderzoekers. "Natuurlijk, onze fictieve persona zou toegang hebben tot de server, dus we reageerden dat we konden en vroegen hoe de acteur de ransomware naar ons zou sturen.”
Onderzoekers bleven vijf dagen lang communiceren met de dreigingsactoren alsof ze bereid waren om deel uit te maken van de zwendel. “Omdat we in staat waren om met hem om te gaan, we waren beter in staat om zijn motivaties en tactieken te begrijpen,” schreven ze in het rapport.
Om de ransomware-operators te testen, de onderzoekers creëerden een fictief persoon die in contact kwam met de criminelen. De dreigingsactor stuurde de onderzoekers twee links voor een uitvoerbaar bestand via de sites voor het delen van bestanden WeTransfer en Mega.nz. Een analyse bevestigde dat het bestand inderdaad ransomware was.
“Tijdens het gesprek, de acteur probeerde herhaaldelijk onze aarzelingen weg te nemen door ervoor te zorgen dat we niet gepakt zouden worden, omdat de ransomware alles op het systeem zou versleutelen. Volgens de acteur, dit omvat alle CCTV (gesloten televisiecircuit) bestanden die op de server kunnen worden opgeslagen," het rapport bleek.
"Threat intelligence zoals deze helpt ons het grotere geheel beter te begrijpen met extra context - iets wat we niet kunnen doen door alleen traditionele indicatoren van compromis en onbewerkte gegevens te onderzoeken,” concludeerde het team.