Pracownik firmy uderzonej ransomware włamał się do skrzynek pocztowych zarządu i podmienił konto, które atakujący wskazali do zapłaty okupu.

Niecodzienna historia miała miejsce jakiś czas temu w Wielkiej Brytanii. Najpierw pewna firma „oberwała” ransomware. Standardowa historia: ransom note + informacja e-mailem gdzie należy wpłacić środki (w kryptowalucie) aby uzyskać dostęp do zdeszyfrowanych danych / uniknąć ujawnienia danych.

Teraz wkracza do akcji ekipa pracowników specjalizujących się w cyberbezpieczeństwie. A co jeśli jeden z tych pracowników postanawia popełnić dodatkowe przestępstwo? Esencja z policyjnego raportu poniżej.

However, unknown to the police, his colleagues and his employer, Liles commenced a separate and secondary attack against the company. He accessed a board member’s private emails over 300 times as well as altering the original blackmail email and changing the payment address provided by the original attacker. This was in the hope that if payment was made, it would be made to him rather than the original attacker. Liles also created an almost identical email address to the original attacker and began emailing his employer to pressurise them to pay the money. 

Oczywiście przestępca miał nadzieję na to, że po zapłacie okupu, środki trafią na jego konto. Nasz cyberbohater nie popisał się jednak wielkimi zdolnościami OPSEC, bo dostęp do emaili, które podmienił wykonał ze swojego domowego adresu IP:

No payment was made and the unauthorised access to the private emails was noticed. It was identified that this access came from Liles home address.

Zatem policja zorganizowała nalot, konfiskując sprzęt elektroniczny. Jednak jak się okazuje, nasz domorosły miłośnik okupów ransomware zdążył wyczyścić używane przez siebie nośniki pamięci:

Specialist police officers from SEROCU’s Cyber Crime team arrested Liles and conducted a search of his home address. Items seized from his address included a computer, laptop, phone and a USB stick. Liles had wiped all data from his devices just days before his arrest in order to try to hide his involvement, however the data was recovered and this provided direct evidence of his crimes. 

Po ostatnim zdaniu widzimy jednak, że „analityk bezpieczeństwa” ponownie się nie popisał – zapewne czyszczenie nośników polegało na „szybkim formacie” lub zwykłym kasowaniu plików. Dzięki temu dane udało się odzyskać, co w prosty sposób umożliwiło dojść do działań jakie wykonał przestępca.

~ms