Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Vem dunnit? Cybercrook får 6 år för att ha lösen sin egen arbetsgivare

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 147
by Naked Security författare

Det här var inte ditt typiska cyberutpressning situationen.

Närmare bestämt följde det vad du kan tänka dig som en sliten väg, så i den meningen framstod den som "typisk" (om du får ursäkta användningen av ordet typisk i samband med ett allvarligt cyberbrott), men det hände inte på det sätt som du förmodligen skulle ha antagit först.

Från och med december 2020 utvecklades brottet enligt följande:

  • Angriparen bröt sig in via ett okänt säkerhetshål.
  • Angriparen fick sysadmin-befogenheter på nätverket.
  • Angriparen stal gigabyte av konfidentiella uppgifter.
  • Angripare bråkade med systemloggar för att täcka deras spår.
  • Angriparen krävde 50 Bitcoins (då värt cirka 2,000,000 XNUMX XNUMX USD) för att tysta saker.
  • Angriparen doxxade offret när utpressningen inte betalades.

Doxxing, om du inte är bekant med termen, är stenografi jargong för avsiktligt lämna ut dokument om en person eller ett företag för att utsätta dem för risk för fysisk, ekonomisk eller annan skada.

När cyberbrottslingar doxx individer de inte gillar, eller som de har en poäng de vill göra upp med, är tanken ofta att utsätta offret för risk för (eller åtminstone i rädsla för) en fysisk attack, till exempel genom att anklaga dem om ett avskyvärt brott, önskar vigilante rättvisa för dem, och sedan berätta för alla var de bor.

När offret är ett företag är den kriminella avsikten vanligtvis att skapa operativ, rykte, finansiell eller regulatorisk stress för offret genom att inte bara avslöja att företaget drabbades av ett intrång i första hand, utan också avsiktligt släppa konfidentiell information som andra brottslingar kan missbruk direkt.

Om du gör rätt och rapporterar ett intrång till din lokala tillsynsmyndighet kommer inte tillsynsmyndigheten att kräva att du omedelbart publicerar detaljer som motsvarar en guide om "hur man hackar sig in på företag X just nu". Om säkerhetshålet som utnyttjas senare bedöms ha varit lätt att undvika, kan tillsynsmyndigheten i slutändan besluta att bötfälla dig för att du inte förhindrat intrånget, men kommer ändå att samarbeta med dig från början för att försöka minimera skadan och risken.

Hiss av sin egen petard

De goda nyheterna i det här fallet (bra för lag och ordning, om än inte för gärningsmannen) är att offret inte var riktigt så godtrogen som brottslingen verkade tro.

Company-1, som det amerikanska justitiedepartementet (DOJ) kallar dem och vi kommer också att, även om deras identitet har avslöjats allmänt i offentligheten, snabbt verkade ha misstänkt ett internt jobb.

Inom tre månader efter attackens början hade FBI slog till mot hemmet av den snart före detta seniorkodaren Nickolas Sharp, då i mitten av 30-årsåldern, och misstänkte honom för att vara gärningsmannen.

Faktum är att Sharp, i sin egenskap av senior utvecklare på Company-1, tydligen "hjälpte" (vi använder termen löst här) att "åtgärda" (ditto) sin egen attack om dagen, samtidigt som han försökte pressa in en $2 miljoner lösenbetalning på natten.

Som en del av bysten beslagtog polisen olika datorenheter, inklusive vad som visade sig vara den bärbara dator som Sharp använde när han attackerade sin egen arbetsgivare, och förhörde Sharp om hans påstådda roll i brottet.

Sharp, det verkar, berättade inte bara för Feds ett paket lögner (eller gjort många falska påståenden, med DOJs mer otippade ord) men gick också på vad man kan kalla en "fake news" PR-motoffensiv, uppenbarligen i hopp om att kasta utredningen av spåret.

Som DOJ sätter den:

Flera dagar efter att FBI verkställde husrannsakan i SHARPs bostad, orsakade SHARP att falska nyheter publicerades om Incidenten och Company-1:s svar på Incidenten. I dessa berättelser identifierade SHARP sig som en anonym whistleblower inom Company-1 som hade arbetat med att åtgärda Incidenten och felaktigt hävdade att Company-1 hade blivit hackad av en oidentifierad gärningsman som med uppsåt skaffat root-administratörsåtkomst till Company-1:s AWS-konton.

I själva verket, som SHARP väl visste, hade SHARP själv tagit Company-1:s data med hjälp av referenser som han hade tillgång till, och SHARP hade använt dessa data i ett misslyckat försök att pressa Company-1 för miljontals dollar.

Nästan omedelbart efter nyheten om dataintrånget föll Company-1s aktiekurs mycket plötsligt från cirka 390 USD till cirka 280 USD.

Även om priset kan ha sjunkit avsevärt på grund av någon form av anmälan om överträdelse, antyder DOJ-rapporten ganska rimligt (även om den inte sägs som ett faktum) att denna falska berättelse, som Sharp förmedlade till media, gjorde devalveringen värre än vad det annars skulle ha varit.

Sharp erkände sig skyldig i februari 2023; han dömdes denna vecka till sex år i fängelse följt av tre år på villkorlig frigivning, och instruerades att betala skadestånd på drygt 1,500,000 XNUMX XNUMX dollar.

(Han kommer heller aldrig att få tillbaka någon av sin beslagtagna datorutrustning, men hur användbart det kitet fortfarande skulle vara om det återlämnades till honom efter sex år i fängelse och ytterligare tre år efter övervakad frigivning är någons gissning.)

Vad göra?

  • Söndra och erövra. Försök att undvika situationer där enskilda systemadministratörer har obegränsad tillgång till allt. Det extra krånglet med att kräva två oberoende auktoriseringar för viktiga systemoperationer är ett litet pris att betala för den extra säkerhet och kontroll det ger dig.
  • Håll oföränderliga loggar. I det här fallet kunde Sharp bråka med systemloggar i ett försök att dölja sin egen åtkomst och att istället misstänkliggöra sina medarbetare. Med tanke på den hastighet med vilken han fångades ut, antar vi dock att Company-1 hade fört åtminstone några "skrivbara"-loggar som bildade en permanent, obestridlig registrering av viktiga systemaktiviteter.
  • Mät alltid, anta aldrig. Få oberoende, objektiv bekräftelse av säkerhetsanspråk. De allra flesta sysadmins är ärliga, till skillnad från Nickolas Sharp, men få av dem har 100% rätt hela tiden.

De flesta systemadministratörer vi känner skulle vara glada över att ha regelbunden tillgång till en andra åsikt för att verifiera sina antaganden.

Det är en hjälp, inte ett hinder, att få kritiskt cybersäkerhetsarbete dubbelkontrollerat för att säkerställa att det inte bara startades korrekt, utan också att det slutfördes korrekt.

MÄT ALLTID, ANTA ALDRIG

Har du ont om tid eller expertis för att ta hand om cybersäkerhetshot?
Orolig för att cybersäkerhet kommer att distrahera dig från alla andra saker du behöver göra?

Ta en titt på Sophos Managed Detection and Response:
24/7 hotjakt, upptäckt och respons  ▶

LÄS MER OM AKTIVA MOTSÄTARE

Läs vår Rapport om aktiv motståndare.
Detta är en fascinerande studie av attacker i verkligheten av Sophos Field CTO John Shier.

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.