Kampaň rozesílá e-maily zaměstnancům společností a zpočátku nabízí 1 milion dolarů v Bitcoinech, pokud nainstalují DemonWare do sítě organizace.
Vědci z Abnormal Security identifikovali a zablokovali několik e-mailů, které lidem nabízely 1 milion dolarů v Bitcoinech za instalaci ransomwaru DemonWare. Budoucí útočníci uvedli, že mají vazby na ransomwarovou skupinu DemonWare, známou také jako Black Kingdom nebo DEMON, uvedli.
„V této nejnovější kampani odesílatel řekne zaměstnanci, že pokud budou schopni nasadit ransomware na firemní počítač nebo server Windows, pak jim bude vyplaceno 1 milion dolarů v Bitcoinech, nebo 40% z předpokládaného výkupného 2,5 milionu dolarů,“ uvedli vědci. „Zaměstnanci je řečeno, že může spustit ransomware fyzicky nebo vzdáleně.“
DemonWare, ransomwarová skupina se sídlem v Nigérii, existuje již několik let. Skupina byla naposledy viděna po boku mnoha dalších aktérů hrozeb, kteří útočili na sadu zranitelností ProxyLogon v Microsoft Exchange, CVE-2021-27065, které byly objeveny v březnu.
Kampaň začíná počáteční e-mailovou žádostí o pomoc od zaměstnance k instalaci ransomwaru, zatímco se hýbe nabídkou platby, pokud ji osoba splní. Poskytuje také příjemci – kterému útočníci později řeknou, že ho našli prostřednictvím LinkedIn – způsob, jak kontaktovat odesílatele e-mailu.
Vědci z Abnormal Security to udělali, aby zjistili o kampani více. Odeslali zprávu, která naznačovala, že si e-mail prohlédli, a zeptali se, co potřebují udělat, aby pomohli.
„O půl hodiny později aktér odpověděl a zopakoval, co bylo obsaženo v původním e-mailu, a poté padla otázka, zda budeme mít přístup k serveru Windows naší falešné společnosti,“ napsali vědci. „Naše fiktivní osobnost by samozřejmě měla přístup na server, takže jsme odpověděli, že můžeme a zeptali jsme se, jak nám útočník pošle ransomware.“
Výzkumníci pokračovali v komunikaci po dobu pěti dnů jako by byli ochotni být součástí podvodu. „Protože jsme s ním mohli komunikovat, lépe jsme porozuměli jeho motivaci a taktice,“ napsali ve zprávě.
Po kontaktu aktér poslal výzkumníkům dva odkazy na spustitelný soubor, který lze stáhnout z webu pro sdílení souborů WeTransfer nebo Mega.nz.
„Soubor dostal název „Walletconnect (1) .exe“ a na základě jeho analýzy jsme mohli potvrdit, že se ve skutečnosti jedná o ransomware,“ uvedli vědci.
Útočník ukázal flexibilitu v tom, kolik výkupného byl ochoten nabídnout. Zatímco původní částka byla 2,5 milionu dolarů v Bitcoinech, aktér rychle tuto částku snížil na 250 000 dolarů a poté na 120 000 dolarů, když vědci uvedli, že falešná společnost, pro kterou pracovali, měla roční příjem 50 milionů dolarů.
„Během rozhovoru se útočník opakovaně pokoušel zmírnit všechna naše váhání tím, že nám zajistil, že nás nechytí, protože ransomware šifruje vše v systému,“ uvedli vědci. „Podle aktéra by to zahrnovalo všechny soubory CCTV (uzavřený televizní okruh), které mohou být uloženy na serveru.“
Více si přečtěte zde: threatpost.com
Obrázek: macrovector/Freepik