Joe Tidy, corespondentul BBC pentru securitate cibernetică, a fost contactat în iulie prin Signal de cineva care susținea că reprezintă gruparea de ransomware Medusa și i-a propus să devină un insider plătit pentru a facilita o intruziune în rețeaua postului public. Propunerea urmărea utilizarea laptopului lui Tidy ca punct de acces inițial, după care atacatorii intenționau să sustragă date valoroase și să solicite o răscumpărare, din care jurnalistul ar fi primit un procent.
Cazul scoate în evidență metodele tot mai directe ale grupărilor de ransomware. Medusa, activă din ianuarie 2021 și remarcată pentru atacurile de tip dublă-extorcare și pentru un portal de șantaj lansat în 2023, a fost legată de CISA de peste 300 de atacuri asupra unor entități critice din Statele Unite. Agenția arată că operatorii Medusa recrutează frecvent brokeri de acces inițial pe forumuri de cybercrime și pe piețele darknet, concentrându-se pe faza post-compromitere. Obiceiul de a cumpăra acces sau de a încuraja angajați să-l vândă nu este nou: grupări precum LockBit au testat deja potențialul angajaților dispuși să faciliteze intruziunile.
Primul contact cu Tidy a venit cu o ofertă inițială: 15% din suma plătită ca răscumpărare pentru acces în sistemele BBC. Mai târziu, interlocutorul care s-a prezentat drept Syndicate sau Syn a încercat să mărească oferta cu 10% și a susținut că echipa sa ar putea cere o răscumpărare „în zeci de milioane” dacă reușea să infiltreze organizația. Pentru a părea credibil, Syn a postat înainte de atac pe un forum de hacking o garanție în bitcoin de 0, 5 BTC, echivalentul a puțin peste 55.000 USD la acel moment.
Tidy bănuiește că atacatorii l-au confundat cu un angajat BBC cu privilegii mari, deoarece i-au cerut să ruleze un script menit să deschidă accesul dorit. Când jurnalistul a hesitat, a început să primească un val de solicitări de autentificare în doi pași, o tactică cunoscută sub numele de MFA bombing sau MFA fatigue, prin care atacatorii declanșează încercări automate de logare pentru a copleși victima și a o determina să accepte solicitările. În loc să cedeze, Tidy a anunțat echipa de securitate a BBC, iar ca măsură preventivă a fost complet deconectat de la infrastructura organizației.
După tentativa eșuată, Syn a revenit cu scuze pentru valul de solicitări MFA și a menținut oferta câteva zile, însă când Tidy nu a mai răspuns, contul atacatorului pe Signal a fost șters. În discuție, interlocutorul a folosit și o abordare psihologică, sugerând că un astfel de „profit” ar putea asigura un trai fără a mai munci, o imagine menită să atragă persoane nemulțumite sau prost plătite. Cazuri similare în care angajați nemulțumiți sau neetici au vândut acces pentru sume relativ mici au provocat deja pierderi de milioane în alte organizații.
În perspectivă mai largă, situații ca cea relatată de Tidy evidențiază două realități: pe de o parte, grupările de ransomware își diversifică metodele de obținere a accesului, vizând chiar persoane din afara ariei tehnice, iar pe de altă parte, apărarea trebuie să includă atât măsuri tehnice, precum protecțiile MFA, monitorizarea accesului și separarea privilegiilor, cât și instruire și politici interne care reduc riscul recrutării de insiders. Raportul CISA menționat semnalează că Medusa și alți actori se bazează adesea pe rețele clandestine pentru cumpărarea acceselor și pe strategii de post-compromitere pentru a maximiza daunele.
Medusa a devenit cunoscută pentru dublarea șantajului: pe lângă criptarea datelor, grupul expune sau amenință cu publicarea informațiilor furate, presiune care crește probabilitatea plății. Tacticile sociale, acordurile negociate prin canale criptate și gesturile de „garanție” a unei plăți în avans ilustrează cât de profesionist poate părea o astfel de operațiune, deși rămâne, în esență, o activitate ilegală orientată spre profit.
Medusa, Syn, 0, 5 BTC și atacurile MFA sunt termeni și evenimente concrete care reies din povestea lui Joe Tidy și merită atenție. Cât de pregătită este o organizație pentru a detecta un astfel de contact intern?
Fii primul care comentează