Joe TidyCorrespondente Cyber, BBC World Service
BBCComo muitas coisas no mundo sombrio do crime cibernético, uma ameaça privilegiada é algo que poucas pessoas têm experiência.
Ainda menos pessoas querem falar sobre isso.
Mas recebi uma experiência única e preocupante de como os hackers podem aproveitar os insiders quando eu mesmo fui recentemente proposta por uma gangue criminosa.
“Se você estiver interessado, podemos oferecer 15% de qualquer pagamento de resgate se você nos der acesso ao seu PC”.
Essa foi a mensagem que recebi do nada de alguém chamado Syndicate que me pingou em julho no sinal de aplicativo de bate -papo criptografado.
Eu não tinha ideia de quem era essa pessoa, mas sabia instantaneamente do que se tratava.
Eu recebi uma parte de uma quantia potencialmente grande de dinheiro se ajudasse os criminosos cibernéticos a acessar os sistemas da BBC através do meu laptop.
Eles roubavam dados ou instalavam software malicioso e mantinham meu empregador para resgatar e eu secretamente receberia um corte.
Eu tinha ouvido histórias sobre esse tipo de coisa.
De fato, apenas alguns dias antes da mensagem não solicitada, surgiram notícias do Brasil de que um trabalhador de TI havia sido preso por vender seus detalhes de login a hackers que a polícia diz que levou à perda de US $ 100 milhões (£ 74 milhões) para a vítima bancária.
Decidi jogar junto com o Syndicate depois de receber conselhos de um editor sênior da BBC. Eu estava ansioso para ver como os criminosos fazem esses acordos obscuros com funcionários potencialmente traiçoeiros em um momento em que os ataques cibernéticos em todo o mundo estão se tornando mais impactantes e perturbadores para a vida cotidiana.
Eu disse a Syn, que havia mudado seu nome no meio da conversão, que estava potencialmente interessado, mas precisava saber como isso funciona.
Eles explicaram que, se eu lhes desse os detalhes de login e o código de segurança, eles invadiriam a BBC e, em seguida, extorquiriam a corporação para um resgate em Bitcoin. Eu estaria na fila para uma parte desse pagamento.
Eles aumentaram sua oferta.
“Não temos certeza de quanto a BBC paga, mas e se você tivesse 25% da negociação final, ao extrair 1% da receita total da BBC? Você não precisaria trabalhar novamente”.
Syn estimou que sua equipe poderia exigir um resgate nas dezenas de milhões se se infiltrar com sucesso na corporação.
A BBC não assumiu publicamente a posição sobre se pagaria ou não hackers, mas os conselhos da Agência Nacional de Crime não devem pagar.
Ainda assim, os hackers continuaram seu arremesso.
Syn disse que eu ficaria na fila por milhões. “Excluiríamos esse bate -papo para você nunca ser encontrado”, eles insistiram.
O hacker alegou ter tido muito sucesso com acordos marcantes com insiders em ataques anteriores.
Os nomes de duas empresas que foram invadidos este ano foram compartilhados como exemplos de quando um acordo foi fechado – uma empresa de saúde do Reino Unido e um provedor de serviços de emergência dos EUA.
“Você ficaria surpreso com o número de funcionários que nos forneceriam acesso”, disse Syn.
Syn disse que era um “gerente de alcance” do grupo cibernético chamado Medusa. Ele alegou ser ocidental e o único falante de inglês na gangue.
Medusa é uma operação de ransomware como serviço. Qualquer afiliado criminal pode se inscrever em sua plataforma e usá -la para invadir organizações.
De acordo com um relatório de pesquisa do posto de controle da empresa de segurança cibernética, acredita -se que os administradores da Medusa operem da Rússia ou de um de seus estados aliados.
“O grupo evita segmentar organizações na Rússia e na Comunidade de Estados Independentes e [its activity is predominantly] nos fóruns da Web Dark em língua russa “.
Syn orgulhosamente me enviou um link para um Aviso público dos EUA sobre Medusa que foi lançado em março. As autoridades cibernéticas dos EUA disseram que, nos quatro anos em que o grupo está ativo, invadiu “mais de 300 vítimas”.
Syn insistiu que levava a sério o acordo para vender secretamente as chaves do reino da minha corporação em troca de um grande dia de pagamento.
Você nunca sabe realmente com quem está falando, então eu pedi a Syn para provar isso. “Você poderia ser crianças brincando ou alguém tentando me prender”, sugeri.
Eles responderam com um link para o endereço da Darknet da Medusa e me convidaram para contatá -los através do Tox do grupo – um serviço de mensagens seguro amado pelos criminosos cibernéticos.
Syn ficou muito impaciente e aumentou a pressão sobre mim para responder.
Eles enviaram um link para a página de recrutamento da Medusa em um fórum exclusivo de crime cibernético, pedindo que eu inicie o processo de garantir 0,5 bitcoin (cerca de US $ 55.000) em um acordo de depósito.
Isso foi efetivamente, eles me garantindo esse dinheiro no mínimo, uma vez que eu entreguei meus detalhes de login.
“Não estamos blefando ou brincando – não temos uma mídia de propósito que somos apenas por dinheiro e dinheiro e um de nossos principais gerentes queriam que eu o procure.”
Aparentemente, eles me escolheram porque assumiram que eu era tecnicamente cuidada e têm acesso de alto nível aos sistemas de TI da BBC (não tenho). Ainda não tenho certeza de que Syn sabia que eu era um correspondente cibernético e não um funcionário cibernético ou de TI.
Eles me fizeram muitas perguntas sobre a rede de TI da BBC que eu não teria respondido, mesmo que soubesse. Eles então enviaram uma confusão complicada do código do computador e me pediram para executá -lo como um comando no meu laptop de trabalho e devolver o que dizia. Eles queriam saber qual acesso interno de TI eu tinha para começar a planejar suas próximas etapas uma vez dentro.
Nesse ponto, eu estava conversando com o SYN por três dias e decidi que havia levado o suficiente e precisava de alguns conselhos extras dos especialistas em segurança da informação da BBC.
Era domingo de manhã, então meu plano era conversar com minha equipe na manhã seguinte.
Então eu parei por tempo. Mas Syn ficou irritado.
“Quando você pode fazer isso? Eu não sou uma pessoa paciente”, disse o hacker.
“Eu acho que você não quer morar na praia nas Bahamas?” Eles pressionaram.
Eles me deram um prazo de meia -noite na segunda -feira. Então eles ficaram sem paciência.
Meu telefone começou a ping com notificações de autenticação de dois fatores. Os pop-ups eram do aplicativo de login de segurança da BBC, pedindo-me para verificar se eu estava tentando fazer login na minha conta da BBC.
Enquanto eu segurava meu telefone em minhas mãos, a tela cheia de uma nova solicitação a cada minuto.
Eu sabia exatamente o que era isso – uma técnica de hackers conhecida como bombardeio de MFA. Os atacantes bombardeiam uma vítima com esses pop -ups tentando redefinir uma senha ou login de um dispositivo incomum.
Eventualmente, as prensas da vítima aceitam por engano ou para fazer com que os pop-ups desapareçam. É famoso como Uber foi hackeado em 2022.
Estar do lado de recebimento foi perturbador.
Os criminosos retiraram a conversa relativamente profissional da segurança do meu aplicativo de bate -papo para a tela inicial do meu telefone. Parecia o equivalente a ter criminosos batendo agressivamente na minha porta da frente.
Fiquei confuso com a mudança de tática, mas muito cautelosa para abrir minhas conversas com elas, caso eu tenha clicado acidentalmente aceito. Isso daria aos hackers acesso imediato às minhas contas da BBC.
O sistema de segurança não o teria sinalizado tão malicioso, pois pareceria uma solicitação normal de login ou redefinição de senha de mim. Depois disso, os hackers poderiam ter começado a pesquisar acesso a sistemas BBC sensíveis ou importantes.
Como repórter e não um trabalhador de TI, não tenho acesso de alto nível aos sistemas da BBC, mas ainda era preocupante e efetivamente significava que meu telefone era inutilizável.
Liguei para a equipe de segurança da informação da BBC e, como precaução, concordamos em me desconectar completamente da BBC. Sem e -mails, sem intranet, sem ferramentas internas, sem privilégios.
A mensagem bizarramente calma dos hackers chegou mais tarde naquela noite.
“A equipe pede desculpas. Estávamos testando sua página de login da BBC e lamentamos extremamente se isso causou algum problema”.
Expliquei que agora estava trancado da BBC e estava irritado. Syn insistiu que o acordo ainda estava lá se eu quisesse. Mas depois que eu não respondi por alguns dias, eles excluíram sua conta de sinal e desapareceram.
Finalmente, fui restabelecido ao sistema BBC, embora com proteções adicionais na minha conta. E com a experiência adicional de estar no interior de um ataque de ameaça privilegiado.
Uma visão arrepiante das táticas cada vez mais incrustantes dos cibernéticos e que destacou toda uma área de risco para as organizações que eu realmente não apreciei até que eu mesmo estivesse no final do recebimento.
