Pesquisadores de segurança estão relatando e-mails solicitando membros da empresa para instalar o Demônio (preto Unido) ransomware nas redes de suas organizações.
Ator de ameaça nigeriano por trás da campanha
De acordo com um relatório da Abnormal Security, um ator de ameaças nigeriano está tentando recrutar funcionários de uma organização para implantar o ransomware Black Kingdom para obter uma parte dos lucros do resgate.
"Em agosto 12, 2021, identificamos e bloqueamos uma série de e-mails enviados a clientes do Abnormal Security, solicitando que eles se tornassem cúmplices em um esquema de ameaça interna. O objetivo era infectar as redes de suas empresas com ransomware. Esses e-mails alegam vir de alguém com laços com o grupo de ransomware DemonWare,”Disseram os pesquisadores em um relatório recente.
The Demon ransomware, também conhecido como DemonWare e ransomware Black Kingdom existe há vários anos, os pesquisadores acrescentaram. No início deste ano, o ransomware foi implantado em ataques envolvendo CVE-2021-27065, um dos quatro dias zero no Microsoft Exchange Server anunciados em março.
Na última campanha do ransomware, o ator da ameaça está incentivando o funcionário a implantar a ameaça em um computador da empresa ou servidor Windows. Em troca disso, o funcionário receberia $1 milhões em Bitcoin, ou 40% do $2.5 milhões de resgate.
“O funcionário é informado que pode iniciar o ransomware fisicamente ou remotamente. O remetente forneceu dois métodos para contatá-los se o funcionário estiver interessado - uma conta de e-mail do Outlook e um nome de usuário do Telegram,”Segurança anormal descoberta.
Pesquisadores da Abnormal Security fizeram exatamente isso para descobrir mais sobre o ator da ameaça e a campanha. Eles enviaram uma mensagem de volta indicando que tinham visto o e-mail e perguntaram o que precisavam fazer para ajudar, eles relataram.
“Meia hora depois, o ator respondeu e reiterou o que foi incluído no e-mail inicial, seguido por uma pergunta sobre se poderíamos acessar o servidor Windows de nossa falsa empresa,”Pesquisadores escreveram. "Claro, nossa persona fictícia teria acesso ao servidor, então respondemos que podíamos e perguntamos como o ator enviaria o ransomware para nós ”.
Os pesquisadores continuaram a se comunicar por cinco dias com os atores da ameaça, como se eles estivessem dispostos a participar do golpe. “Porque fomos capazes de nos envolver com ele, fomos capazes de entender melhor suas motivações e táticas,”Eles escreveram no relatório.
Para testar os operadores de ransomware, os pesquisadores criaram uma pessoa fictícia que entrou em contato com os criminosos. O ator da ameaça enviou aos pesquisadores dois links para um arquivo executável por meio dos sites de compartilhamento de arquivos WeTransfer e Mega.nz. Uma análise confirmou que o arquivo era de fato ransomware.
“Ao longo da conversa, o ator repetidamente tentou aliviar quaisquer hesitações que possamos ter, garantindo que não seríamos pegos, uma vez que o ransomware criptografaria tudo no sistema. De acordo com o ator, isso incluiria qualquer CCTV (circuito fechado de televisão) arquivos que podem ser armazenados no servidor,” o relatório revelou.
“Inteligência de ameaças como essa nos ajuda a entender melhor o quadro geral com contexto adicional - algo que não podemos fazer apenas examinando os indicadores tradicionais de comprometimento e dados brutos,”A equipe concluiu.