Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Wie weet? Cybercrook krijgt 6 jaar voor het loskopen van zijn eigen werkgever

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 147
by Naked Security-schrijver

Dit was niet jouw typische cyberafpersing situatie.

Om preciezer te zijn, het volgde wat je zou kunnen beschouwen als een uitgesleten pad, dus in die zin kwam het over als "typisch" (als je me het gebruik van het woord wilt excuseren typisch in de context van een ernstige cybercriminaliteit), maar het gebeurde niet op de manier die u in eerste instantie waarschijnlijk zou hebben aangenomen.

Vanaf december 2020 verliep de misdaad als volgt:

  • Aanvaller brak binnen via een onbekend beveiligingslek.
  • Aanvaller heeft systeembeheerdersbevoegdheden verworven op het netwerk.
  • Aanvaller stal gigabytes van vertrouwelijke gegevens.
  • Aanvaller heeft geknoeid met systeemlogboeken om hun sporen uit te wissen.
  • Aanvaller eiste 50 Bitcoins (toen ongeveer $ 2,000,000 waard) om de boel stil te houden.
  • Aanvaller doxxed het slachtoffer toen de chantage niet werd betaald.

Doxxen, als u niet bekend bent met de term, is dit een afkorting voor jargon het opzettelijk vrijgeven van documenten over een persoon of bedrijf om hen het risico te geven op fysieke, financiële of andere schade.

Wanneer cybercriminelen individuen doxeren die ze niet mogen, of met wie ze een rekening hebben die ze willen vereffenen, is het idee vaak om het slachtoffer in gevaar te brengen (of in ieder geval bang te maken voor) een fysieke aanval, bijvoorbeeld door hem te beschuldigen hen van een gruwelijke misdaad, burgerwacht gerechtigheid over hen wensen, en vervolgens iedereen vertellen waar ze wonen.

Wanneer het slachtoffer een bedrijf is, is de criminele bedoeling meestal om operationele, reputatie-, financiële of regelgevende stress voor het slachtoffer te creëren door niet alleen aan het licht te brengen dat het bedrijf in de eerste plaats een inbreuk heeft geleden, maar ook door opzettelijk vertrouwelijke informatie vrij te geven die andere criminelen kunnen gebruiken. misbruik meteen.

Als u het juiste doet en een inbreuk meldt aan uw lokale toezichthouder, zal de toezichthouder niet eisen dat u onmiddellijk details publiceert die neerkomen op een gids over "hoe u bedrijf X nu kunt hacken". Als later wordt aangenomen dat het misbruikte beveiligingslek gemakkelijk te vermijden was, kan de toezichthouder uiteindelijk besluiten u een boete op te leggen omdat u de inbreuk niet heeft voorkomen, maar zal desalniettemin vanaf het begin met u samenwerken om de schade en het risico tot een minimum te beperken.

Hijsen door zijn eigen petard

Het goede nieuws in dit geval (goed voor de openbare orde, zij het niet voor de dader) is dat het slachtoffer niet zo goedgelovig was als de crimineel leek te denken.

Bedrijf-1, zoals het Amerikaanse ministerie van Justitie (DOJ) ze noemt en wij ook, hoewel hun identiteit algemeen bekend is gemaakt in het openbaar register, leek al snel een inside job te hebben vermoed.

Binnen drie maanden na het begin van de aanval had de FBI viel het huis binnen van aanstaande ex-senior-coder Nickolas Sharp, toen halverwege de dertig, die hem ervan verdacht de dader te zijn.

In feite was Sharp, in zijn hoedanigheid van senior ontwikkelaar bij Company-1, blijkbaar "helpen" (we gebruiken de term hier losjes) om zijn eigen aanval overdag te "herstellen" (idem), terwijl hij probeerde een $ 2 miljoen af ​​te persen losgeld per nacht.

Als onderdeel van de arrestatie nam de politie verschillende computerapparatuur in beslag, waaronder wat de laptop bleek te zijn die Sharp gebruikte bij het aanvallen van zijn eigen werkgever, en ondervroegen Sharp over zijn vermeende rol in de misdaad.

Sharp, zo lijkt het, vertelde de FBI niet alleen een pak leugens (of veel valse verklaringen afgelegd, in de meer nuchtere woorden van de DOJ), maar ging ook door met wat je een "nepnieuws" PR-tegenoffensief zou kunnen noemen, blijkbaar in de hoop het onderzoek van de baan te krijgen.

Als DOJ zet het:

Enkele dagen nadat de FBI het huiszoekingsbevel in de woning van SHARP had uitgevoerd, zorgde SHARP ervoor dat valse nieuwsberichten werden gepubliceerd over het Incident en de reactie van Company-1 op het Incident. In die verhalen identificeerde SHARP zichzelf als een anonieme klokkenluider binnen Company-1 die had gewerkt aan het oplossen van het Incident en ten onrechte beweerde dat Company-1 was gehackt door een niet-geïdentificeerde dader die kwaadwillig root-beheerderstoegang tot de AWS-accounts van Company-1 had verkregen.

Zoals SHARP heel goed wist, had SHARP zelf de gegevens van Bedrijf-1 buitgemaakt met behulp van inloggegevens waartoe hij toegang had, en SHARP had die gegevens gebruikt in een mislukte poging om Bedrijf-1 af te persen voor miljoenen dollars.

Vrijwel onmiddellijk nadat het nieuws bekend werd over het datalek, daalde de aandelenkoers van Company-1 zeer plotseling van ongeveer $ 390 naar ongeveer $ 280.

Hoewel de prijs met name kan zijn gedaald als gevolg van enige vorm van inbreukmelding, impliceert het DOJ-rapport redelijkerwijs (hoewel het niet als een feit wordt vermeld) dat dit valse verhaal, zoals door Sharp aan de media verspreid, de devaluatie verergerde dan het anders zou zijn geweest.

Sharp pleitte schuldig in februari 2023; hij werd deze week veroordeeld tot zes jaar gevangenisstraf, gevolgd door drie jaar voorwaardelijk, en kreeg de opdracht om iets meer dan $ 1,500,000 terug te betalen.

(Hij zal ook nooit iets van zijn in beslag genomen computerapparatuur terugkrijgen, maar hoe nuttig die kit nog zou zijn als hij hem zou worden teruggegeven na zes jaar gevangenisstraf en nog eens drie jaar bij vrijlating onder toezicht, is een raadsel.)

Wat te doen?

  • Verdeel en heers. Probeer situaties te vermijden waarin individuele systeembeheerders onbelemmerde toegang hebben tot alles. Het extra gedoe van het vereisen van twee onafhankelijke autorisaties voor belangrijke systeembewerkingen is een kleine prijs voor de extra veiligheid en controle die het u biedt.
  • Houd onveranderlijke logboeken bij. In dit geval kon Sharp knoeien met systeemlogboeken in een poging zijn eigen toegang te verbergen en in plaats daarvan verdenkingen op collega's te werpen. Gezien de snelheid waarmee hij werd betrapt, gaan we ervan uit dat Company-1 op zijn minst enkele 'alleen-schrijven'-logboeken had bijgehouden die een permanent, onmiskenbaar record vormden van belangrijke systeemactiviteiten.
  • Altijd meten, nooit aannemen. Krijg onafhankelijke, objectieve bevestiging van beveiligingsclaims. De overgrote meerderheid van systeembeheerders is eerlijk, in tegenstelling tot Nickolas Sharp, maar slechts weinigen hebben altijd 100% gelijk.

De meeste systeembeheerders die we kennen, zouden graag regelmatig toegang hebben tot een second opinion om hun aannames te verifiëren.

Het is een hulp, geen belemmering, om kritieke cyberbeveiligingswerkzaamheden dubbel te laten controleren om er zeker van te zijn dat het niet alleen correct is gestart, maar ook correct is voltooid.

ALTIJD METEN, NOOIT AANNEMEN

Weinig tijd of expertise om te zorgen voor de respons op cyberbeveiligingsdreigingen?
Bezorgd dat cyberbeveiliging u uiteindelijk zal afleiden van alle andere dingen die u moet doen?

Kijk eens naar Sophos Managed Detection and Response:
24/7 jacht op bedreigingen, detectie en reactie  ▶

MEER INFORMATIE OVER ACTIEVE TEGENSTANDERS

Lees onze Actief tegenstanderrapport.
Dit is een fascinerende studie van real-life aanvallen door Sophos Field CTO John Shier.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.