Ein BBC -Cyber -Korrespondent wurde im Juli von einer kriminellen Organisation in der Signal -App vorgeschlagen und bietet einen Anteil an einer Lösegeldzahlung im Austausch für den internen Zugang zu den Computersystemen seines Arbeitgebers. Der Vorfall lieferte einen direkten Blick darauf, wie Cyberkriminelle versuchen, Insider zu rekrutieren, um Angriffe zu erleichtern.
Der Rekrutierungsversuch
Die unaufgeforderte Nachricht stammte von einer Person, die als „Syndikat“ identifiziert wurde und einen direkten Vorschlag für eine Insider-Bedrohungs-Zusammenarbeit machte.
„Wenn Sie interessiert sind, können wir Ihnen 15% einer Lösegeldzahlung anbieten, wenn Sie uns Zugriff auf Ihren PC gewähren.“
Der Korrespondent Joe Tidy konsultierte mit einem leitenden Redakteur und beschloss, sich mit der Person zu beschäftigen, um Intelligenz über die Methoden der Gruppe zu sammeln. Er stellte das Interesse vor und forderte weitere Details darüber auf, wie der Plan funktionieren würde. Der Kontakt, der jetzt „Syn“ bezeichnet wird, erklärte, dass der Prozess den Reporter mit seinen Anmeldeinformationen des Unternehmens anbietet, mit dem die Bande das BBC -Netzwerk infiltriert, böswillige Software bereitstellt und ein Ransom in Bitcoin verlangt.
Die Verhandlung
Im weiteren Verlauf des Gesprächs war der finanzielle Anreiz erheblich erhöht. Das anfängliche Angebot von 15% wurde auf 25% eines Lösegeldes erhöht, das Syn projiziert hat, in den „zehn Millionen“.
„Wir sind uns nicht sicher, wie viel die BBC Ihnen bezahlt, aber was ist, wenn Sie 25% der endgültigen Verhandlungen unternehmen, während wir 1% des Gesamtumsatzes der BBC extrahieren? Sie müssten nie wieder arbeiten.“
Um Vertrauen aufzubauen, behauptete der Kontakt, der sich als „Reach Out Manager“ für die Cyber-Crime-Gruppe Medusa identifizierte, in früheren Angriffen erfolgreich Geschäfte mit Insidern abgeschlossen und ein in Großbritannien ansässiges Gesundheitsunternehmen und einen in den USA ansässigen Notfallanbieter als frühere Opfer benannt.
Die Identität der Hacker
Medusa ist eine bekannte Ransomware-as-a-Service-Gruppe (RAAS), die es kriminellen Partnern ermöglicht, ihre böswillige Software zu nutzen, um Angriffe im Austausch für einen Anteil der Gewinne zu starten. Es wird angenommen, dass die Administratoren der Gruppe aus Russland oder einem alliierten Staat aus operieren und Berichten zufolge nicht auf Organisationen in dieser Region abzielen. Um ihre Glaubwürdigkeit nachzuweisen, schickte der Kontakt dem Reporter einen Link zu einer öffentlichen Warnung vor Medusa, die im März von den US -Cyberbehörden herausgegeben wurde. Dies stellte fest, dass die Gruppe mehr als 300 Opfer kompromittiert hatte.
Vom Gespräch bis zum Angriff
Der Ton verlagerte sich, als die Kriminellen ungeduldig wurden, und forderte den Reporter auf, eine Anzahlung von 0,5 Bitcoin (ca. 55.000 USD) zu leisten, um eine garantierte Mindestzahlung zu sichern. Sie stellten spezifische technische Fragen zum IT -Netzwerk der BBC und schickten einen Snippet Computercode, wobei der Reporter es anwies, ihn auf seinem Arbeitslaptop auszuführen, um seinen internen Zugang zu enthüllen. Nachdem der Reporter die Zeit zum Stillstand brachte, eskalierten die Kriminellen ihre Taktik. Sein Telefon erhielt eine ständige Flut von Zwei-Faktor-Authentifizierungsbenachrichtigungen aus der Sicherheitsanmeldung der BBC. Diese Technik, die als MFA-Bombenanschlag oder Multi-Faktor-Authentifizierungsermüdung bezeichnet wird, soll ein Ziel mit Genehmigungsanfragen überwältigen, in der Hoffnung, dass sie einen versehentlich oder aus Frustration akzeptieren.
Die Folgen
Der Reporter war besorgt über versehentlich zu genehmigen und kontaktierte das Informationssicherheitsteam der BBC. Vorsichtsmaßnahmen trugen das Team sein Konto vom Netzwerk und senkte seinen Zugriff auf alle internen Systeme. Später am Abend schickte der Hacker eine Nachricht, die sich für den „Test“ entschuldigte. Nachdem der Reporter eingestellt hatte, löschte der Kontakt sein Signalkonto und verschwand. Der Zugriff des Reporters zu BBC -Systemen wurde schließlich mit verbessertem Sicherheitsschutz wieder hergestellt. Der Vorfall lieferte ihm die Erfahrung eines Insider -Bedrohungsangriffs aus erster Hand und die sich entwickelnde Taktik von Cyberkriminellen.
