Un acteur de la menace nigérian a été observé en train de tenter de recruter des employés en leur proposant de payer 1 million de dollars en bitcoins pour déployer le ransomware Black Kingdom sur les réseaux des entreprises dans le cadre d’un programme de menace interne.

« L’expéditeur dit à l’employé que s’il est en mesure de déployer un ransomware sur un ordinateur de l’entreprise ou un serveur Windows, il recevra 1 million de dollars en bitcoins, soit 40 % de la rançon présumée de 2,5 millions de dollars », a déclaré Abnormal Security. mentionné dans un rapport publié jeudi. « L’employé est informé qu’il peut lancer le ransomware physiquement ou à distance. L’expéditeur a fourni deux méthodes pour le contacter si l’employé est intéressé : un compte de messagerie Outlook et un nom d’utilisateur Telegram. »

Black Kingdom, également connu sous le nom de DemonWare et DEMON, a attiré l’attention au début du mois de mars lorsque des acteurs malveillants ont été découverts en train d’exploiter des failles ProxyLogon affectant les serveurs Microsoft Exchange pour infecter des systèmes non corrigés avec la souche de ransomware.

Abnormal Security, qui a détecté et bloqué les e-mails de phishing le 12 août, a répondu à la tentative de sollicitation en créant un personnage fictif et a contacté l’acteur sur Telegram Messenger, seulement pour que l’individu dévoile par inadvertance le mode opératoire de l’attaque, qui comprenait deux liens. pour une charge utile de ransomware exécutable que « l’employé » pourrait télécharger depuis WeTransfer ou Mega.nz.

« L’acteur nous a également demandé de nous débarrasser du fichier .EXE et de le supprimer de la corbeille. Sur la base des réponses de l’acteur, il semble clair qu’il 1) s’attend à ce qu’un employé ait un accès physique à un serveur, et 2) il ne l’est pas très familier avec la criminalistique numérique ou les enquêtes de réponse aux incidents », a déclaré Crane Hassold, directeur du renseignement sur les menaces chez Abnormal Security.

En plus d’adopter une approche flexible de leurs demandes de rançon, le plan aurait été concocté par le directeur général d’une startup de réseautage social basée à Lagos appelée Sociogram, dans le but d’utiliser les fonds siphonnés pour « construire ma propre entreprise ». Dans l’une des conversations qui ont eu lieu au cours des cinq jours, l’individu a même commencé à s’appeler « le prochain Mark Zuckerberg ».

Il convient également de noter la méthode d’utilisation de LinkedIn pour collecter les adresses e-mail d’entreprise des cadres supérieurs, soulignant une fois de plus comment les attaques de compromission des e-mails professionnels (BEC) provenant du Nigéria continuent d’évoluer et d’exposer les entreprises à des attaques sophistiquées telles que les ransomwares.

« Il y a toujours eu une ligne floue entre les cyberattaques et l’ingénierie sociale, et c’est un exemple de la façon dont les deux sont étroitement liés. À mesure que les gens savent mieux reconnaître et éviter le phishing, il ne devrait pas être surprenant de voir les attaquants adopter de nouvelles tactiques pour atteindre leurs objectifs. « , a déclaré Tim Erlin, vice-président de la gestion des produits et de la stratégie chez Tripwire.

« L’idée d’un initié mécontent comme une menace de cybersécurité n’est pas nouvelle. Tant que les organisations auront besoin d’employés, il y aura toujours un risque d’initié. La promesse d’obtenir une part de la rançon peut sembler attrayante, mais il n’y a presque aucune garantie que ce genre de complicité sera en fait récompensé, et il est fort probable que quelqu’un acceptant cet attaquant sur son offre se fasse prendre », a ajouté Erlin.