Хакер-невдаха мріяв зламати великі компанії, але попався через листування в Telegram

Шахрай з Нігерії намагався вимагати гроші у великих компаній, але наштовхнувся на кіберспеціалістів, які викрили його за допомогою месенджера Telegram.

Про це повідомила компанія Abnormal Security на своєму сайті.

Платформа кібербезпеки заблокувала кілька підозрілих повідомлень, які відправили їхнім клієнтам. У них замовник пропонував інсайдерам за велику винагороду заразити сервери своїх компаній за допомогою ПО Demonware (також відомий як Black Kingdom) — це вірус-вимагач, який розміщений у відкритому доступі на GitHub. Для зв'язку автор вказав cвой email і нікнейм в Телеграму, де він підписаний як "Пабло" (Pablo).

"Якщо ви можете встановити і запустити наш Demonware на будь-який комп'ютер або головний сервер компанії фізично або віддалено: 40% — вам, мільйон доларів — вам в BTC", — пропонував угоду "Пабло".

Співробітників Abnormal Security зацікавила його схема і настільки велика сума винагороди. Як правило, хакери доставляють віруси через вкладення в електронних листах, незахищені облікові записи або уразливості програм, цей же намагався переконати співробітників нашкодити своїм роботодавцям. Експерти створили фейковий аккаунт і зв'язалися з автором листів через Telegram, щоб з'ясувати деталі.

"Якщо ви працюєте в офісі, ви можете встановити вимагач на сервер вашої компанії. Як тільки компанія заплатить викуп в біткоїнах, ви отримаєте 40%", — написав зловмисник у першому ж повідомленні.

Коли кіберспеціаліст "погодився" на ці умови, співрозмовник прислав два посилання на хостинг-сайти, звідки можна було скачати виконавчий файл під назвою "Walletconnect (1).exe". Експерт вивчив його і переконався, що це дійсно вірус для вимагання.

Під час бесіди стало зрозуміло, що шахрай не знав, який викуп можна вимагати у тій чи іншій компанії. Спочатку він хотів отримати $ 2,5 млн, потім заявив, що сподівається на $ 250 тис., а після того, як "співробітник" назвав річний дохід фірми в розмірі $ 50 млн — зупинився на сумі в $ 125 тис.

Замовник також намагався заспокоїти співрозмовника, запевняючи його в безпеці затії. Зокрема, заявив, що вірус зашифрує всі файли в системі, включно з відеозаписом з камер спостереження на сервері. Він навіть надав інструкцію по зачистці слідів, пояснив, як позбавити від шкідливостей.

Судячи з відповідей, експертам стало ясно, що зловмисник:

1. очікує, що співробітник матиме фізичний доступ до сервера;
2. погано знайомий з цифровою криміналістикою або розслідуваннями інцидентів зі зломами.

Представники компанії також запитали співрозмовника, чи сам він створив програму-вимагач. "Пабло" заявив, що "запрограмований софт на мові Python". Нагадаємо, Demonware можна безкоштовно скачати з GitHub — цей проект покликаний показати, наскільки легко створити і використовувати такі віруси. Зловмисник вирішив використовувати софт, щоб змусити інших вчинити злочин.

У чаті Пабло також зізнався, що отримав багато адрес електронної пошти з LinkedIn — це распространeнний метод, який шахраї використовують для отримання контактної інформації про співробітників різних фірм. Спочатку він намагався розсилати власникам фішингові листи з вірусами, проте зазнав невдачі.

Експерти спробували з'ясувати особу шахрая і знайшли його email на сайті, присвяченому торгівлі Naira (валюта Нігерії), і в соціальній мережі. Під час розмови він спробував втертися в довіру і сам розкрив деяку інформацію про себе, в тому числі підтвердив, що знаходиться в Нігерії, і скинув профіль в LinkedIn зі своїм повним ім'ям. За словами користувача, він хотів добути грошей на розвиток власної компанії — соцмережі Sociogram. Пізніше він видалив повідомлення, але фахівці встигли зробити скріншоти.

Раніше писали, що хакери крали особисті дані користувач за допомогою месенджера Discord. У другому кварталі 2021 року Sophos виявила в програмі майже в два рази більше загроз, ніж рік тому.