The insider threat is one of the most dangerous and at the same time inherited topics in the field of cybercrime. About cases, when employees of organizations help hackers from the inside, Little is known, And the units are publicly resolved to talk about this. BBC journalist Joe Tidi (Joe Tidy) получил редкую возможность взглянуть на процесс вербовки инсайдеров изнутри, когда сам стал целью киберпреступной группы.
Первое сообщение: предложение «сделки»
В июле репортёр получил неожиданное сообщение в мессенджере Signal от некоего пользователя под ником Syndicate. Незнакомец сразу предложил сотрудничество:
«Если вас это интересует, мы можем предложить вам 15% от суммы выкупа, если вы предоставите доступ к вашему ПК».
Речь шла о помощи в компрометации внутренних систем BBC: хакеры планировали похитить данные или установить вредоносное ПО, а журналист получил бы часть выкупа. Через несколько сообщений «Синдикат» уточнил, что может поднять процент до 25% от суммы «финальных переговоров», пообещав десятки миллионов долларов. Хакеры уверяли, что компания-цель «не заплатит вам столько за всю жизнь», а сотрудничество позволит «уйти на пенсию прямо сейчас».
Сценарий атаки
Собеседник объяснил, что ему нужны логины и одноразовые коды для доступа к корпоративным системам. Далее группа вымогателей планировала внедрить вредоносный софт и потребовать у BBC выкуп в криптовалюте.
Хакеры утверждали, что уже успешно заключали подобные «сделки» с сотрудниками других компаний — в качестве примера назывались британская медицинская организация и американская служба экстренного реагирования.
Отдельно подчёркивалось, что операция анонимна: «Мы удалим этот чат, чтобы вас невозможно было найти».
Для укрепления доверия злоумышленники пообещали «депозит» в размере 0,5 биткойна (около 55 000 долларов), если журналист согласится на сотрудничество.
Кто такие Medusa
Собеседник представился «менеджером по вербовке» группировки Medusa — известной банды, работающей по модели ransomware-as-a-service (RaaS). Это платформа, где любой партнёр может арендовать инфраструктуру для атак и разделять выкуп с организаторами.
По данным компании Check Point, ядро группы, вероятно, находится в России или странах СНГ. Medusa избегает атак на цели в регионе, сосредотачиваясь на организациях за его пределами. По официальным оценкам, за четыре года работы Medusa скомпрометировала более 300 жертв по всему миру.
Давление и тактика «MFA bombing»
На протяжении трёх дней Тайди имитировал интерес, консультируясь с руководством BBC и собирая информацию о методах злоумышленников. Однако когда он стал затягивать с ответом, хакеры перешли к более агрессивной тактике.
Его телефон начал получать непрерывные push-уведомления с запросами двухфакторной аутентификации от внутренних сервисов BBC. Эта техника известна как MFA bombing: жертву заваливают запросами, пока она по ошибке не подтвердит вход и не даст атакующим доступ.
Несмотря на дискомфорт и невозможность полноценно пользоваться телефоном, журналист не поддался. Служба информационной безопасности BBC временно отключила его от всех корпоративных систем, чтобы исключить риск компрометации.
Финал и выводы
После неудачной попытки взлома хакеры прислали извинение, назвав свои действия «тестом». Они продолжали настаивать на сделке, but, не получив ответа, удалили свой аккаунт в Signal и исчезли.
BBC восстановила доступ репортёра к корпоративным ресурсам с дополнительными мерами защиты.
Что это значит для организаций
Этот случай наглядно показывает, насколько целенаправленно киберпреступники ищут «слабое звено» внутри компаний. Ключевые моменты:
- Социальная инженерия и финансовый соблазн. Угрозы или шантаж могут и не потребоваться — достаточно привлекательного предложения «лёгких денег».
- Ransomware-as-a-service. Современные группы действуют как коммерческие структуры, имея «рекрутеров», техподдержку и публичные «портфолио» на даркнете.
- Техническое давление. Атаки вроде MFA bombing — способ заставить жертву ошибиться и невольно предоставить доступ.
Опыт BBC подчёркивает: внутренние угрозы — не абстракция. Даже сотрудники без административных привилегий могут быть целью, а успешная вербовка грозит миллионами долларов убытков и серьёзным репутационным ущербом.
Компании должны не только инвестировать в защиту периметра, но и обучать персонал, выстраивать каналы доверенного информирования о подозрительных контактах и применять многоуровневые методы аутентификации, способные противостоять массированным атакам.
Discover more from VirusNet
Subscribe to get the latest posts sent to your email.