 |
.
Geng ransomware LockBit 2.0 secara aktif merekrut orang dalam perusahaan untuk membantu mereka menembus dan mengenkripsi jaringan. Sebagai imbalannya,
Banyak geng ransomware beroperasi sebagai Ransomware-as-a-Service, yang terdiri dari kelompok inti pengembang, yang memelihara ransomware dan situs pembayaran, dan merekrut afiliasi yang melanggar jaringan korban dan mengenkripsi perangkat.
Setiap pembayaran tebusan yang dilakukan korban kemudian dibagi antara kelompok inti dan afiliasi, dengan afiliasi biasanya menerima 70-80% dari jumlah total.
Namun, dalam banyak kasus, afiliasi membeli akses ke jaringan dari pentester pihak ketiga lain daripada melanggar perusahaan itu sendiri.
Dengan LockBit 2.0, geng ransomware mencoba menghapus perantara dan merekrut orang dalam untuk memberi mereka akses ke jaringan perusahaan.
LockBit 2.0 menjanjikan jutaan dolar untuk orang dalam
Pada bulan Juni, operasi ransomware LockBit mengumumkan peluncuran ransomware-as-a-service LockBit 2.0 baru mereka.
Peluncuran ulang ini mencakup situs Tor yang didesain ulang dan berbagai fitur lanjutan, termasuk mengenkripsi perangkat secara otomatis di jaringan melalui kebijakan grup.
Dengan peluncuran kembali ini, LockBit juga telah mengubah wallpaper Windows yang ditempatkan pada perangkat terenkripsi untuk menawarkan "jutaan dolar" bagi orang dalam perusahaan yang menyediakan akses ke jaringan tempat mereka memiliki akun.
Wallpaper LockBit 2.0 baru merekrut orang dalam
Teks lengkap, dengan informasi kontak yang dihapus, menjelaskan bahwa LockBit sedang mencari RDP, VPN, kredensial email perusahaan yang kemudian dapat mereka gunakan untuk mendapatkan akses ke jaringan.
Geng ransomware juga mengatakan bahwa mereka akan mengirim "virus" kepada orang dalam yang harus dijalankan di komputer, kemungkinan akan memberikan akses jarak jauh geng ransomware ke jaringan.
"Apakah Anda ingin mendapatkan jutaan dolar?
Perusahaan kami memperoleh akses ke jaringan berbagai perusahaan, serta informasi orang dalam yang dapat membantu Anda mencuri data paling berharga dari perusahaan mana pun.
Anda dapat memberikan kami data akuntansi untuk akses ke perusahaan mana pun, misalnya, login dan kata sandi ke RDP, VPN, email perusahaan, dll. Buka surat kami di email Anda. Luncurkan virus yang disediakan di komputer mana pun di perusahaan Anda.
Perusahaan membayar kami penyitaan untuk dekripsi file dan pencegahan kebocoran data.
Anda dapat berkomunikasi dengan kami melalui Tox messenger
https://tox.chat/download.html
Menggunakan Tox messenger, kami tidak akan pernah tahu nama asli Anda, artinya privasi Anda terjamin.
Jika Anda ingin menghubungi kami, gunakan ToxID: xxxx"
Ketika kami pertama kali melihat pesan ini, tampaknya tidak masuk akal untuk merekrut orang dalam untuk jaringan yang telah dibobol.
Namun, pesan ini kemungkinan menargetkan konsultan TI eksternal yang mungkin melihat pesan saat merespons serangan.
Meskipun taktik ini mungkin terdengar tidak masuk akal, ini bukan pertama kalinya pelaku ancaman berusaha merekrut seorang karyawan untuk mengenkripsi jaringan perusahaan mereka.
Pada Agustus 2020, FBI menangkap seorang warga negara Rusia karena berusaha merekrut seorang karyawan Tesla untuk menanam malware di jaringan Tesla's Nevada Gigafactory.