Des pirates informatiques soudoient des employés pour qu’ils déploient des ransomwares sur les ordinateurs de l’entreprise
Le terme ransomware est utilisé pour décrire tout type de malware (logiciel malveillant) qui crypte ou verrouille les données sur un appareil et exige le paiement d'une rançon pour les décrypter.
Les attaques de ransomware ont évolué au fil des ans, les cybercriminels utilisant des techniques de plus en plus sophistiquées pour cibler les organisations et les individus.
Cet été, des chercheurs en cybersécurité ont repéré un pirate informatique essayant de soudoyer des employés pour qu'ils déploient un ransomware sur les ordinateurs de leur entreprise.
Soudoyer des employés : que s'est-il passé ?
En août, Abnormal Security a remarqué que des employés recevaient des e-mails les invitant à devenir complices d'une attaque de ransomware. L'acteur de la menace a envoyé un e-mail aux employés pour leur dire qu'ils seraient payés 40 % de la rançon de 2,5 millions de dollars pour déployer un ransomware sur les ordinateurs de leur entreprise, physiquement ou à distance, et a laissé leurs coordonnées.
Les cybercriminels déploient généralement des ransomwares via des pièces jointes aux e-mails ou via des configurations de réseau privé virtuel (VPN). Naturellement, les chercheurs d'Abnormal Security étaient curieux de connaître les méthodes de cet acteur de menace particulier, ils ont donc décidé de se faire passer pour un employé prêt à participer au programme et ont contacté les escrocs.
L'acteur menaçant répond
L'acteur menaçant a réagi rapidement, en moins d'une heure, en demandant à l'employé supposé s'il serait en mesure d'accéder au serveur Windows de son entreprise. Les chercheurs ont répondu par l'affirmative, incitant le cybercriminel à envoyer des liens vers des sites de transfert de fichiers, WeTransfer et Mega.
Les chercheurs ont téléchargé le fichier qu'il a envoyé, « Walletconnect (1).exe », et ont confirmé qu'il s'agissait bien d'un ransomware, la variante DemonWare. Soyons clair : nous déconseillons à quiconque de télécharger quelque chose de suspect envoyé par un étranger.
Se faisant toujours passer pour un employé, les chercheurs ont déclaré à l'acteur menaçant que leur entreprise avait un chiffre d'affaires annuel de 50 millions de dollars. L'acteur menaçant a ensuite abaissé le montant de la rançon de 2,5 millions de dollars à 120 000 $.
L'acteur de la menace a tenté à plusieurs reprises de convaincre l'employé supposé que le ransomware chiffrerait tout sur le système sans laisser de traces, montrant qu'il est soit imprudent, soit tout simplement pas trop familiarisé avec la criminalistique numérique.
Le cybercriminel a également affirmé qu'il avait programmé le ransomware à l'aide du langage de programmation python, ce qui était un mensonge : tout le code de DemonWare est disponible gratuitement en ligne.
DemonWare n'est pas aussi dangereux que, par exemple, Ryuk ransomware , mais le fait que pratiquement n'importe qui peut facilement trouver le code en ligne et essayer de déployer le malware suggère qu'il s'agit d'une menace qui doit être prise au sérieux.
Comment le cybercriminel a-t-il obtenu ses coordonnées ?
Alors, comment l'auteur de la menace a-t-il réussi à obtenir les informations de la cible ?
L'acteur de la menace, de son propre aveu, a envoyé des e-mails de phishing aux cadres supérieurs de l'entreprise pour tenter de compromettre leurs comptes.
Lorsque cela a échoué, il a obtenu les coordonnées des employés de LinkedIn, puis a envoyé des e-mails offrant une part des bénéfices pour le déploiement de ransomware.
Qui est le cybercriminel ?
L'acteur de la menace a été assez négligent pour partager des informations sur lui-même avec les chercheurs d'Abnormal Security, y compris son nom complet et son emplacement.
Apparemment basé au Nigeria, il s'est décrit en plaisantant comme "le prochain Mark Zuckerberg", révélant qu'il essaie de créer une plate-forme de réseautage social africaine.
Il a également affirmé avoir des liens avec le groupe de ransomware DemonWare, également connu sous le nom de Black Kingdom et DEMON.
De toute évidence, cette personne n'est pas exactement un cerveau criminel, mais sa tentative de transformer les employés en menaces internes était notable et suggère que cela pourrait être une tendance émergente.
Protection contre les attaques
Il est facile de voir comment un cybercriminel plus compétent pourrait causer des dommages majeurs à une organisation en introduisant une ingénierie sociale dans les systèmes internes.
Il est impératif que les employeurs informent les travailleurs sur les pirates informatiques, mais parfois cela ne suffit pas. En plus d'investir dans la sécurité, les employeurs préoccupés par les menaces internes devraient envisager de se tourner vers un logiciel de surveillance des employés.
Tant qu'il est non invasif et sûr, un logiciel de surveillance peut être un excellent moyen de s'assurer qu'une entreprise dispose d'une couche de protection supplémentaire contre les cyberattaques, en particulier aujourd'hui où des millions de personnes dans le monde travaillent à domicile.