[ad_1]

Il existe un vieil adage en matière de sécurité de l’information : « Chaque entreprise subit un test d’intrusion, qu’elle paie ou non quelqu’un pour le plaisir. » De nombreuses organisations qui embauchent des professionnels pour tester leur posture de sécurité réseau ont malheureusement tendance à se concentrer sur la correction des vulnérabilités que les pirates pourraient utiliser pour s’introduire. Mais à en juger par la prolifération des annonces de recherche d’aide pour les pentesters offensifs dans le cybercrime souterrain, les attaquants d’aujourd’hui n’ont exactement aucun problème. gagner cette intrusion initiale : le véritable défi semble être d’embaucher suffisamment de personnes pour aider tout le monde à profiter de l’accès déjà obtenu.

L’un des moyens les plus courants de monétiser cet accès de nos jours est le rançongiciel, qui retient les données et/ou les ordinateurs d’une victime en otage jusqu’à ce qu’un paiement d’extorsion soit effectué. Mais dans la plupart des cas, il y a un écart béant de jours, de semaines ou de mois entre l’intrusion initiale et le déploiement du ransomware au sein d’une organisation victime.

En effet, il faut généralement du temps et beaucoup d’efforts aux intrus pour passer d’un seul PC infecté à la prise de contrôle de suffisamment de ressources au sein de l’organisation victime où il est logique de lancer le ransomware.

Cela inclut le pivotement ou la conversion d’un seul compromis Microsoft Windows compte utilisateur vers un compte administrateur avec des privilèges plus importants sur le réseau cible ; la possibilité de contourner et/ou de désactiver tout logiciel de sécurité ; et obtenir l’accès nécessaire pour perturber ou corrompre tout système de sauvegarde de données dont dispose l’entreprise victime.

Chaque jour, des millions d’e-mails contenant des logiciels malveillants sont diffusés avec des pièces jointes piégées. Si la pièce jointe est ouverte, le document malveillant procède au téléchargement discret de logiciels malveillants et d’outils de piratage supplémentaires sur la machine victime (voici un exemple vidéo d’une pièce jointe Microsoft Office malveillante du service de bac à sable des logiciels malveillants n’importe quel run). À partir de là, le système infecté se rapportera à un serveur de contrôle des logiciels malveillants exploité par les spammeurs qui ont envoyé la missive.

À ce stade, le contrôle de la machine victime peut être transféré ou vendu plusieurs fois entre différents cybercriminels spécialisés dans l’exploitation de cet accès. Ces personnes sont très souvent des sous-traitants qui travaillent avec des groupes de rançongiciels établis et qui reçoivent un pourcentage défini de tout paiement de rançon éventuel effectué par une entreprise victime.

LE DOCTEUR EST À L’INTÉRIEUR

Entrez des sous-traitants comme « Dr Samuel», un cybercriminel qui a maintenu une présence sur plus d’une douzaine de forums sur la cybercriminalité en langue russe au cours des 15 dernières années. Dans une série de publicités récentes, le Dr Samuil dit qu’il embauche avec impatience des personnes expérimentées qui connaissent les outils utilisés par les pentesters légitimes pour exploiter l’accès une fois à l’intérieur d’une entreprise cible – en particulier, les cadres post-exploit comme le étroitement gardé Frappe de cobalt.

« Vous recevrez régulièrement des accès sélectionnés qui ont été audités (il s’agit d’environ 10 à 15 accès sur 100) et qui valent la peine d’être essayés », a écrit le Dr Samuil dans une de ces annonces d’aide. « Cela aide toutes les personnes concernées à gagner du temps. Nous avons également un logiciel privé qui contourne la protection et assure des performances fluides. »

D’après d’autres petites annonces qu’il a publiées en août et septembre 2020, il semble clair que l’équipe du Dr Samuil a une sorte d’accès privilégié aux données financières sur les entreprises ciblées, ce qui leur donne une meilleure idée de la somme d’argent que l’entreprise victime peut avoir sous la main pour payer. une demande de rançon. En être témoin:

« Il existe d’énormes informations privilégiées sur les entreprises que nous ciblons, y compris des informations s’il existe des lecteurs de bande et des clouds (par exemple, Datto qui est conçu pour durer, etc.), ce qui affecte considérablement l’échelle du taux de conversion.

Conditions:
– expérience avec le stockage cloud, ESXi.
– expérience avec Active Directory.
– élévation de privilèges sur les comptes aux droits limités.

* Niveau sérieux d’informations privilégiées sur les entreprises avec lesquelles nous travaillons. Il existe des preuves de paiements importants, mais uniquement pour les LEAD vérifiés.
* Il y a aussi un MEGA INSIDE privé, dont je ne parlerai pas ici en public, et c’est uniquement pour les LEADs expérimentés avec leurs équipes.
* Nous ne regardons pas les rapports REVENUE / REVENU NET / Comptable, c’est notre MEGA INSIDE, dans lequel nous savons exactement combien il faut presser au maximum en toute confiance.

Selon la firme de cybersécurité Intel 471l’annonce du Dr Samuil n’est pas unique, et il existe plusieurs autres cybercriminels chevronnés qui sont des clients d’offres populaires de ransomware en tant que service qui embauchent des sous-traitants pour sous-traiter une partie du travail fastidieux.

« Dans le milieu clandestin des cybercriminels, les accès compromis aux organisations sont facilement achetés, vendus et échangés », a déclaré le PDG d’Intel 471. Marquer l’arène mentionné. « Un certain nombre de professionnels de la sécurité ont précédemment cherché à minimiser l’impact commercial que les cybercriminels peuvent avoir sur leurs organisations. »

« Mais en raison de la croissance rapide du marché des accès compromis et du fait que ceux-ci pourraient être vendus à n’importe qui, les organisations doivent se concentrer davantage sur les efforts pour comprendre, détecter et réagir rapidement aux compromissions du réseau », a poursuivi Arena. « Cela couvre la correction plus rapide des vulnérabilités importantes, la détection et la surveillance continues des logiciels malveillants criminels, et la compréhension des logiciels malveillants que vous voyez dans votre environnement, comment ils sont arrivés là et ce qu’ils ont ou auraient pu laisser tomber par la suite. »

QUI EST DR. SAMUIL ?

En menant des recherches pour cette histoire, BreachTrace a appris que le Dr Samuil est le pseudonyme utilisé par le propriétaire de multi-vpn[.]affaires, un service de réseau privé virtuel (VPN) de longue date commercialisé auprès des cybercriminels qui cherchent à anonymiser et chiffrer leur trafic en ligne en le faisant rebondir sur plusieurs serveurs à travers le monde.

Prenez un Coca et un cocktail Molotov. Image : twitter.com/multivpn

MultiVPN est le produit d’une société appelée Solutions de réseaux Ruskod (alias ruskod[.]rapporter), qui prétend être basée dans les paradis des sociétés offshore du Belize et des Seychelles, mais qui semble être dirigée par un type vivant en Russie.

Les enregistrements d’enregistrement de domaine pour ruskod[.]net étaient depuis longtemps cachés par les services de confidentialité WHOIS. Mais selon Domaintools.com [an advertiser on this site]les enregistrements WHOIS originaux du site datant du milieu des années 2000 indiquent que le domaine a été enregistré par un Sergueï Rakitianski.

Ce n’est pas un nom rare en Russie ou dans de nombreux pays d’Europe de l’Est environnants. Mais un ancien partenaire commercial de MultiVPN qui a eu une brouille plutôt publique avec le Dr Samuil dans le milieu de la cybercriminalité a déclaré à BreachTrace que Rakityansky est en effet le vrai nom de famille du Dr Samuil et qu’il est âgé de 32 ou 33 ans. Bryansk, une ville située à environ 200 miles au sud-ouest de Moscou.

Ni le Dr Samuil ni MultiVPN n’ont répondu aux demandes de commentaires.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *