Een Nigeriaanse man is gearresteerd in verband met een plan om insiders te verleiden ransomware op werkgeverssystemen in te zetten.
Op 22 november meldde beveiligingsexpert Brian Krebs dat de man, Oluwaseun Medayedupin, is vrijdag gearresteerd door de Nigeriaanse autoriteiten.
De verdachte zou in verband worden gebracht met een 'losgeld van je werkgever'-regeling die in augustus door Abnormal Security is onderzocht.
Klanten van het cyberbeveiligingsbedrijf ontvingen e-mails met het onderwerp 'Aanbieding voor partners van partners', met het verzoek de ontvanger te overwegen medeplichtig te worden aan een cyberaanval.
De e-mails boden een korting van 40% op een verwachte ransomwarebetaling van $ 2,5 miljoen in Bitcoin (BTC), die werd gedaan nadat de ontvangers de DemonWare-ransomware op de systemen van hun werkgever hadden geïnstalleerd.
Voor geïnteresseerden werd een Microsoft Outlook-e-mailadres en een Telegram-handle verstrekt. Onderzoekers van Abnormal Security namen contact op onder het mom van een fictief persoon en bevestigden dat ze een uitvoerbaar ransomware-bestand hadden ontvangen dat werd gehost op twee websites voor het delen van bestanden.
Het aanbod van ransomware werd echter teruggebracht tot $ 120.000 — $ 250.000 toen het team begon te communiceren met de exploitant van het programma.
Het team vermoedde dat het ransomware-initiatief van Nigeriaanse oorsprong zou kunnen zijn. Toen hij werd ondervraagd, zei de dreigingsactor dat hij probeerde een sociaal netwerk voor Afrika op te bouwen, Sociogram genaamd, en deelde hij zijn LinkedIn-profiel met zijn volledige naam.
“Volgens de acteur verzamelt hij zijn targetinginformatie van LinkedIn, wat, naast andere commerciële diensten die toegang tot vergelijkbare gegevens verkopen, een veelgebruikte methode is die oplichters gebruiken om contactgegevens van werknemers te verkrijgen”, aldus Abnormal Security. “[…] hij was oorspronkelijk van plan om zijn doelwitten — alle leidinggevenden op hoog niveau — phishing-e-mails te sturen om hun accounts te compromitteren, maar toen dat niet lukte, wendde hij zich tot dit ransomware-voorwendsel.”
Medayedupin nam vervolgens contact op met Krebs na zijn rapport en vroeg om de naam Sociogram te verwijderen, maar bevestigde noch ontkende het onderzoek van Abnormal Security. Een ander bericht volgde via een domeinregistreerder, waarin hij “Mr. Krebson” een “kracht achtervolger” noemde.
Naar verwachting wordt deze week een aanklacht ingediend tegen Medayedupin, naar verluidt 23 jaar oud.
Eerdere en gerelateerde berichtgeving
Dit is volgens cybercriminelen het perfecte slachtoffer van ransomware
Wat is ransomware? Alles wat u moet weten over een van de grootste bedreigingen op internet
Ransomware-bendes klagen dat andere criminelen hun losgeld stelen
Heeft u een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters