عصابات الفدية تواصل الاستعانة بمصادر خارجية لعملهم

هناك قول مأثور قديم في أمن المعلومات: “تخضع كل شركة لاختبار الاختراق ، سواء دفعوا لشخص ما مقابل المتعة أم لا”. تميل العديد من المؤسسات التي توظف محترفين لاختبار وضع أمان الشبكة لديهم ، للأسف ، إلى التركيز على إصلاح الثغرات الأمنية التي قد يستخدمها المتسللون لاقتحامها. ولكن انطلاقًا من انتشار إعلانات المساعدة المطلوبة للمخترعين المسيئين في الجريمة الإلكترونية تحت الأرض ، فإن مهاجمي اليوم لا يواجهون أي مشكلة تمامًا اكتساب هذا التطفل الأولي: يبدو أن التحدي الحقيقي يتمثل في توظيف عدد كافٍ من الأشخاص لمساعدة الجميع على الاستفادة من الوصول المكتسب بالفعل.

 

واحدة من أكثر الطرق شيوعًا لتحقيق الدخل من هذا الوصول هذه الأيام هي من خلال برامج الفدية، والذي يحتفظ ببيانات الضحية و / أو أجهزة الكمبيوتر كرهائن ما لم وحتى يتم دفع دفع ابتزاز. ولكن في معظم الحالات ، هناك فجوة كبيرة من الأيام أو الأسابيع أو الأشهر بين التطفل الأولي ونشر برامج الفدية داخل منظمة ضحية.

هذا لأنه عادة ما يستغرق وقتًا وجهدًا كبيرًا للمتطفلين للانتقال من جهاز كمبيوتر واحد مصاب إلى السيطرة على موارد كافية داخل المنظمة الضحية حيث يكون من المنطقي تشغيل برنامج الفدية.

يتضمن هذا التمحور من أو تحويل أحد المخترقين مايكروسوفت ويندوز حساب المستخدم لحساب مسؤول بامتيازات أكبر على الشبكة المستهدفة ؛ القدرة على تجنب و / أو تعطيل أي برنامج أمان ؛ والحصول على الوصول اللازم لتعطيل أو إتلاف أي أنظمة نسخ احتياطي للبيانات قد تكون لدى الشركة الضحية.

كل يوم ، يتم إرسال الملايين من رسائل البريد الإلكتروني التي تحتوي على برامج ضارة تحتوي على مرفقات مفخخة. إذا تم فتح المرفق ، يستمر المستند الضار في تنزيل برامج ضارة إضافية وأدوات قرصنة إلى الجهاز الضحية (إليك مثال فيديو واحد لمرفق Microsoft Office ضار من خدمة وضع الحماية للبرامج الضارة أي تشغيل). من هناك ، سيقوم النظام المصاب بإبلاغ خادم التحكم في البرامج الضارة الذي يديره مرسلي البريد العشوائي الذين أرسلوا الرسالة.

في هذه المرحلة ، قد يتم نقل السيطرة على الجهاز الضحية أو بيعه عدة مرات بين مجرمي الإنترنت المختلفين الذين يتخصصون في استغلال هذا الوصول. هؤلاء الأشخاص غالبًا ما يكونون متعاقدين يعملون مع مجموعات برامج الفدية الراسخة ، ويتم دفع نسبة مئوية محددة من أي مدفوعات فدية نهائية تقدمها شركة ضحية.

والطبيب هو في

أدخل مقاولين من الباطن مثل “د. صموئيل، أحد مجرمي الإنترنت الذي حافظ على وجوده في أكثر من عشرة منتديات للجرائم الإلكترونية باللغة الروسية على مدار الخمسة عشر عامًا الماضية. في سلسلة من الإعلانات الحديثة ، يقول الدكتور صموئيل إنه يوظف بشغف أشخاصًا ذوي خبرة على دراية بالأدوات التي يستخدمها المخترقون الشرعيون لاستغلال الوصول مرة واحدة داخل شركة مستهدفة – على وجه التحديد ، أطر ما بعد الاستغلال مثل الحراسة المشددة الكوبالت سترايك.

كتب الدكتور صموئيل في أحد إعلانات المساعدة المطلوبة: “سيتم تزويدك بانتظام بإمكانية وصول مختارة تم تدقيقها (حوالي 10-15 وصولاً من أصل 100) وهي تستحق المحاولة”. “هذا يساعد جميع المعنيين على توفير الوقت. لدينا أيضًا برامج خاصة تتجاوز الحماية وتوفر أداءً سلسًا “.

من الإعلانات المبوبة الأخرى التي نشرها في أغسطس وسبتمبر 2020 ، يبدو واضحًا أن فريق الدكتور صموئيل يتمتع بنوع من الامتياز في الوصول إلى البيانات المالية الخاصة بالشركات المستهدفة التي تمنحهم فكرة أفضل عن مقدار النقد الذي قد يكون لدى الشركة الضحية لدفعه. طلب فدية. لخفة الظل:

“هناك معلومات داخلية ضخمة عن الشركات التي نستهدفها ، بما في ذلك معلومات عما إذا كانت هناك محركات أقراص وسحب (على سبيل المثال ، Datto الذي تم تصميمه لتدوم ، وما إلى ذلك) ، مما يؤثر بشكل كبير على حجم معدل التحويل.

المتطلبات:
– تجربة التخزين السحابي ، ESXi.
– تجربة مع Active Directory.
– تصعيد الامتياز على الحسابات ذات الحقوق المحدودة.

* مستوى خطير من المعلومات الداخلية عن الشركات التي نعمل معها. هناك أدلة على المدفوعات الكبيرة ، ولكن فقط من أجل LEADs التي تم التحقق منها.
* هناك أيضًا MEGA INSIDE خاص ، والذي لن أكتب عنه هنا في الأماكن العامة ، وهو مخصص فقط للقادة ذوي الخبرة مع فرقهم.
* نحن لا ننظر إلى تقارير الإيرادات / الدخل الصافي / المحاسب ، هذا هو ميجا الداخل ، حيث نعرف بالضبط مقدار الضغط بثقة إلى الحد الأقصى في المجموع.

وفقًا لشركة الأمن السيبراني إنتل 471، إعلان الدكتور صموئيل ليس فريدًا من نوعه ، وهناك العديد من مجرمي الإنترنت المخضرمين الآخرين الذين هم عملاء لعروض برامج الفدية كخدمة الشهيرة التي توظف متعاقدين من الباطن لإنجاز بعض الأعمال الشاقة.

“داخل مجرمي الإنترنت السريين ، يتم شراء وبيع وتداول عمليات الوصول المخترقة إلى المؤسسات” ، الرئيس التنفيذي لشركة Intel 471 مارك ارينا قال. “لقد سعى عدد من المتخصصين في مجال الأمن سابقًا للتقليل من تأثير الأعمال التي يمكن أن يحدثها مجرمو الإنترنت على مؤسساتهم”.

“ولكن بسبب السوق المتنامي بسرعة للوصول المخترق وحقيقة ذلك يمكن بيعها لأي شخص، تحتاج المنظمات إلى التركيز أكثر على الجهود لفهم واكتشاف الحلول الوسط للشبكات والاستجابة لها بسرعة “، تابع أرينا. “يغطي ذلك التصحيح الأسرع للثغرات الأمنية المهمة ، والكشف المستمر عن البرامج الضارة الإجرامية ومراقبتها ، وفهم البرامج الضارة التي تراها في بيئتك ، وكيف وصلت إلى هناك ، وما الذي حدث أو كان من الممكن أن يكون قد أسقط لاحقًا.”

من هو د. صموئيل؟

أثناء إجراء بحث لهذه القصة ، علم كريبس أون سكيورتي أن الدكتور صموئيل هو المقبض الذي يستخدمه مالك متعدد vpn[.]بيزو هي خدمة شبكات افتراضية خاصة (VPN) يتم تسويقها لمجرمي الإنترنت الذين يتطلعون إلى إخفاء هويتهم وتشفير حركة المرور عبر الإنترنت من خلال ارتدادها عبر خوادم متعددة حول العالم.

تناول مشروب غازي وزجاجة مولوتوف. الصورة: twitter.com/multivpn

MultiVPN هو منتج شركة تدعى Ruskod Networks Solutions (الملقب ب روسكود[.]شبكة) ، والتي تدعي بشكل مختلف أنها مقرها في ملاذات الشركة الخارجية في بليز وسيشيل ، ولكن يبدو أنها يديرها رجل يعيش في روسيا.

يسجل المجال لـ ruskod[.]تم إخفاء net منذ فترة طويلة بواسطة خدمات خصوصية WHOIS. لكن بحسب Domaintools.com [an advertiser on this site]، تشير سجلات WHOIS الأصلية للموقع من منتصف العقد الأول من القرن الحادي والعشرين إلى أن النطاق تم تسجيله بواسطة أ سيرجي راكيتيانسكي.

هذا ليس اسمًا غير شائع في روسيا أو في العديد من دول أوروبا الشرقية المحيطة. لكن الشريك التجاري السابق لـ MultiVPN الذي كان لديه خلاف عام مع الدكتور صامويل في الجريمة الإلكترونية السرية أخبر KrebsOnSecurity أن Rakityansky هو بالفعل لقب دكتور Samuil الحقيقي ، وأنه يبلغ من العمر 32 أو 33 عامًا ويعيش حاليًا في بريانسك ، مدينة تقع على بعد حوالي 200 ميل جنوب غرب موسكو.

لم يستجب الدكتور صامويل ولا MultiVPN لطلبات التعليق.

قد يعجبك ايضا