En nigeriansk mand er blevet anholdt i forbindelse med en ordning, der forsøgte at lokke insidere til at implementere ransomware på arbejdsgiversystemer.
Den 22. november rapporterede sikkerhedsekspert Brian Krebs, at mand, Oluwaseun Medayedupin, blev anholdt af nigerianske myndigheder i fredags.
Den mistænkte er angiveligt forbundet med en 'løsepenge for din arbejdsgiver'-ordning, der blev undersøgt af Abnormal Security i august.
Kunder af cybersikkerhedsfirmaet fik tilsendt e-mails med emnet “Partnership affiliate offer”, hvori de anmodede om, at modtageren overvejede at blive medskyldig i et cyberangreb.
E-mailsene tilbød en nedskæring på 40 % af en forventet 2,5 millioner dollars ransomware-betaling i Bitcoin (BTC), efter at modtagerne havde installeret DemonWare ransomware på deres arbejdsgivers systemer.
En Microsoft Outlook-e-mailadresse og Telegram-håndtag blev stillet til rådighed for interesserede parter. Unormale sikkerhedsforskere nåede ud under dække af en fiktiv person og bekræftede, at de fik tilsendt en eksekverbar ransomware, der var hostet på to fildelingswebsteder.
Men det tilbud om ransomware blev reduceret til mellem $120.000 – $250.000, da holdet begyndte at kommunikere med ordningens operatør.
Holdet havde mistanke om, at ransomware-initiativet kan være af nigeriansk oprindelse. Da han blev spurgt, sagde trusselsaktøren, at han forsøgte at bygge et socialt netværk for Afrika kaldet Sociogram og delte sin LinkedIn-profil, der indeholdt hans fulde navn.
“Ifølge skuespilleren indsamler han sine målretningsoplysninger fra LinkedIn, som ud over andre kommercielle tjenester, der sælger adgang til lignende data, er en almindelig metode, som svindlere bruger til at indhente kontaktoplysninger til medarbejdere,” siger Abnormal Security. “[…] han havde oprindeligt tænkt sig at sende sine mål – alle ledere på højt niveau – phishing-e-mails for at kompromittere deres konti, men efter det var mislykket, gik han over til dette ransomware-påskud.”
Medayedupin tog derefter ud til Krebs efter hans rapport og bad om, at navnet Sociogram blev fjernet, men på samme tid hverken bekræftede eller afkræftede Abnormal Securitys undersøgelse. En anden besked fulgte via en domæneregistrator, der kaldte “Mr. Krebson” for en “clout chasing monger.”
Der forventes at blive rejst tiltale mod Medayedupin, angiveligt 23 år gammel, i denne uge.
Tidligere og relateret dækning
Dette er det perfekte ransomware-offer ifølge cyberkriminelle
Hvad er ransomware? Alt hvad du behøver at vide om en af de største trusler på nettet
Ransomware-bander klager over, at andre skurke stjæler deres løsesum
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre