Grupi Nigerian sulmon kompanitë me ransomware përmes të punësuarve

Zakonisht infektimet me ransomuer bëhen përmes dërgimit të mesazheve me e-mail, ku nxiten pranuesit e këtyre e-mail-ve të klikojnë në një link, apo përmes qasjes direkt duke shfrytëzuar llogaritë e VPN-ëve të pasigurt, apo edhe përmes dështimeve në softuer.

Së fundi është vërejtur një mënyrë tjetër – e pa parë deri më tani – ku një grup kriminal dërgon e-mail tek disa të punësuar të një organizate duke i joshur ata me oferta të ndryshme me shuma të mëdha parash nëse ata do të pranonin të bashkëpunojnë me kriminelët.

Një rast i tillë është hetuar këtë muaj nga kompania e sigurisë kibernetike ” Abnormal Security”, ku një grup Nigerian kishte tentuar të rekrutojë të punësuarit në një firmë duke i ofruar $1 milion atij që arrin të instalojë një ransomware – të quajtur “Black Kingdom and Demon” – në një server të kompanisë ku ata punojnë.

Grupi përmes e-mail-it i kërkon të punësuarit që nëse ai/ajo do të mund të instalonte një ransomuer në një kompjuter brenda kompanisë apo në një Windows Server, atëherë ai/ajo do të paguhej me një shumë prej $1 milion në Bitcoin, ose do të fitonte 40% nga shuma prej $2.5 milion që grupi mendonte të merrte nga kompania si haraç. Nëse do të kishte ndonjë të interesuar, grupi kishte lënë për kontakt një e-mail adresë @outlook.com dhe një adresë në Telegram.

Ransomueri DemonWare është në qarkullim tash e disa vite, ku së fundi (në mars të këtij viti) ishte përdorë për të infektuar serverët Microsoft Exchange.

Crane Hassold nga kompania “Abnormal Security” tregon që, pasi kishin bllokuar e-mailat “phishing”, kishin kontaktuar – përmes një llogarie të një personi fiktiv – me grupin Nigerian përmes llogarisë së tyre në Telegram, duke zbuluar kështu mënyrën e veprimit të grupit kriminal, që përfshinë dy link-a për tek ransomueri ekzekutues të cilët viktima mund t’i shkarkonte nga “WeTransfer” ose nga “Mega.nz”.

“Në këtë rast, viktima do të duhej të shkarkonte ransomuerin nga GitHub dhe të bindte dikë – përmes inxhinierisë sociale – për të instaluar ransomuerin për ta”, thotë ai. “Kjo ilustron një lloji të ri të sulmeve ‘ransomware-as-a-service’ duke përfshirë në sulm edhe të punësuar me më pak njohuri teknike.”

Gjatë bisedës disa ditësh me sulmuesit, hulumtuesit kishin zbuluar që sulmuesit fillimisht kishin tentuar të komprometonin e-mail adresat e udhëheqësve të kompanive, të cilat i kishin marrë nga profilet e tyre në LinkedIn, mirëpo pasi këtë nuk e kishin arritur ishin përqendruar në sulmet me ransomuer.

“Edhe pse qasja duket të jetë shumë amatore”,  shkruan Hassold, “mendoj që përputhet me taktikat që ky sulmues tashmë është mësuar t’i përdorë. Si shumica e kriminelëve kibernetik Nigerian, inxhinieria sociale ka qenë ndër strategjitë bazë për dekada me radhë, kështu që edhe në këtë rast kjo do të ishte metoda e preferuar edhe në rast që tentojnë të përdorin diçka që është teknikisht më e sofistikuar, siç është ransomueri”.