Gang spojený s ransomwarem LockBit rekrutuje insidery k prolomení firemních sítí

Gang operující s ransomwarem LockBit 2.0 aktivně verbuje firemní insidery, aby mu pomohli prolomit a zašifrovat firemní sítě. Gang na oplátku insiderům slibuje milionové výplaty.

Mnoho ransomwarových gangů funguje jako „ransomware-as-a-service“, který se skládá z hlavní skupiny vývojářů, kteří spravují ransomware a platební stránky, a z naverbovaných poboček, které narušují sítě obětí a šifrují zařízení. Veškeré výkupné, které oběti zaplatí, se pak rozdělí mezi hlavní skupinu a přidruženou organizaci, přičemž tato přidružená společnost obvykle obdrží 70-80 % celkové částky. V mnoha případech si však přidružené společnosti zakoupí přístup k sítím od jiných pentesterů třetích stran, místo aby samy pronikly do společnosti.

S LockBitem 2.0 se gang snaží vydat cestou bez prostředníka a místo toho verbuje insidery, kteří jim poskytnou přístup do podnikové sítě. Gang přitom slibuje odměny v milionech dolarů. V červnu ransomwarová skupina oznámila spuštění svého nového ransomwaru LockBit 2.0 jako služby. Toto obnovené spuštění zahrnovalo přepracované torové stránky a řadu pokročilých funkcí, včetně automatického šifrování zařízení v síti prostřednictvím zásad skupiny. S tímto opětovným spuštěním zločinecká organizace také změnila tapetu systému Windows umístěnou na šifrovaných zařízeních a nabídla „miliony dolarů“ pro firemní insidery, kteří poskytnou přístup do sítí, kde mají účet.

Rekrutování pomocí wallpaperu

Celý text, který se objevuje coby „wallpaper“ na napadených zařízeních, s redigovanými kontaktními údaji vysvětluje, že LockBit hledá přihlašovací údaje k RDP, VPN, podnikové elektronické poště, které pak může použít k získání přístupu do sítě. Gang ransomwaru také uvádí, že zašle insiderovi „virus“, který by měl být spuštěn na počítači a který pravděpodobně umožní ransomwarovému gangu vzdálený přístup do sítě.

A jak zločinecký gang verbuje?

„Chtěli byste vydělat miliony dolarů?

Naše společnost získává přístup k sítím různých společností a také zasvěcené informace, které vám mohou pomoci ukrást cenná data jakékoli společnosti.

Můžete nám poskytnout loginy pro přístup do libovolné společnosti, například přihlašovací jméno a heslo k RDP, VPN, firemní e-mail atd. Otevřete naši zprávu na svém e-mailu. Spusťte poskytnutý virus na libovolném počítači v cílové společnosti.

Firmy nám zaplatí výkupné za dešifrování souborů a zabránění úniku dat.

Můžete s námi komunikovat prostřednictvím Tox messengeru

Pomocí Tox messengeru se nikdy nedozvíme vaše skutečné jméno, to znamená, že vám zaručujeme soukromí. Pokud nás chcete kontaktovat, použijte ToxID: xxxx“.

Nabízí se samozřejmě otázka, nakolik je efektivní verbovat insidera pro síť, která již byla narušena. Nicméně útočníci zřejmě předpokládají, že touto cestou mohou naverbovat externí IT konzultanty, kteří výzvu mohou vidět při reakci na útok.

Není to poprvé, co se aktéři hrozeb pokoušejí naverbovat zaměstnance k zašifrování firemní sítě. V srpnu 2020 FBI zatkla ruského státního příslušníka za pokus o naverbování zaměstnance společnosti Tesla, aby umístil malware do sítě nevadské továrny Tesla Gigafactory. Využívání insiderů patří k oblíbeným a vyhledávaným praktikám ransomwarových gangů.

Zdroj: Bleeping Computer