Canal de Telegram

24 may 2023

Segu-Info » , » Dos historia de "Insiders" capturados por robo de datos

Dos historia de "Insiders" capturados por robo de datos

24 may 2023, 3:32:00 p.m.   Comenta primero!
  ,  

Caso 1: El analista de seguridad malo

Un hombre de Reino Unido de 28 años de Fleetwood, Inglatera, ha sido declarado culpable de acceso no autorizado a una computadora con intenciones delictivas y de chantajear a su empleador.

Un comunicado de prensa publicado ayer por la Unidad Regional contra el Crimen Organizado del Sureste (SEROCU) explica que en febrero de 2018, el condenado, Ashley Liles, trabajaba como analista de seguridad informática en una empresa con sede en Oxford que sufrió un ataque de ransomware.

Al igual que muchos ataques de ransomware, los actores de la amenaza se pusieron en contacto con los ejecutivos de la empresa y exigieron el pago de un rescate. Debido a su función en la empresa, Liles participó en las investigaciones internas y en el esfuerzo de respuesta a incidentes, que también contó con el apoyo de otros miembros de la empresa y la policía.

Sin embargo, durante esta fase, se dice que Liles intentó enriquecerse con el ataque engañando a su empleador para que le pagara un rescate en lugar del atacante externo original.

Desconocido para la policía, sus colegas y su empleador, Liles inició un ataque separado y secundario contra la empresa. "Accedió a los correos electrónicos privados de un miembro de la junta más de 300 veces, además de alterar el correo electrónico de chantaje original y cambiar la dirección de pago proporcionada por el atacante original".

El plan era aprovechar la situación y desviar el pago a una billetera de criptomonedas bajo su control. "Liles también creó una dirección de correo electrónico casi idéntica a la del atacante original y comenzó a enviar correos electrónicos a su empleador para presionarlo a pagar el dinero", explicó SEROCU.

Sin embargo, el propietario de la empresa no estaba interesado en pagar a los atacantes, y las investigaciones internas que aún estaban en curso en ese momento revelaron el acceso no autorizado de Liles a correos electrónicos privados, apuntando a la dirección IP de su casa.

Aunque Liles se dio cuenta de que las investigaciones se habían acercado a él y había borrado todos los datos de sus dispositivos personales cuando el equipo de delitos cibernéticos de SEROCU irrumpió en la casa de Liles para apoderarse de su computadora, aún era posible restaurar los datos incriminatorios.

Liles inicialmente negó su participación, pero cinco años después, se declaró culpable durante una audiencia en el Tribunal.

Caso 2 - El programador con permisos

Este caso, se desarrolla desde diciembre de 2020, de la siguiente manera:

  • El atacante irrumpió en la red de la organización a través de un agujero de seguridad desconocido.
  • El atacante adquirió privilegios de administrador en la red.
  • El atacante robó gigabytes de datos confidenciales.
  • El atacante borró los logs del sistema para cubrir sus huellas.
  • El atacante exigió 50 Bitcoins (entonces con un valor aproximado de U$S 2.000.000) para silenciar las cosas.
  • El atacante realizó doxxing de la víctima cuando no pagó el chantaje.

Doxxing, si no está familiarizado con el término, es una jerga abreviada para divulgar deliberadamente documentos sobre una persona o empresa para ponerlos en riesgo de sufrir daños físicos, financieros o de otro tipo. Cuando los ciberdelincuentes "doxean" a personas que no les gustan o con las que tienen una cuenta que quieren saldar, la idea suele ser poner a la víctima en riesgo (o al menos temerla) de un ataque físico, por ejemplo, acusándola de un crimen atroz, deseándoles justicia vigilante y luego diciéndoles a todos dónde viven.

Cuando la víctima es una "compañía", la intención delictiva suele ser crear estrés operativo, reputacional, financiero o regulatorio para la víctima no solo al exponer que la empresa sufrió una infracción en primer lugar, sino también al divulgar deliberadamente información confidencial que otros delincuentes pueden abusar de inmediato.

La buena noticia en este caso es que la víctima no era tan crédula como parecía pensar el criminal. La "compañía" rápidamente sospechó de un trabajo interno.

Tres meses después del comienzo del ataque, el FBI había allanado la casa del futuro ex-programador senior Nickolas Sharp, entonces de unos 30 años, sospechando que él era el perpetrador. De hecho, Sharp, en su calidad de desarrollador en la empresa, aparentemente estaba "ayudando" (aquí usamos el término vagamente) a "remediar" (ídem) su propio ataque diario, mientras intentaba extorsionar a la empresa por la noche.

Como parte de la redada, los policías incautaron varios dispositivos informáticos, incluida la que resultó ser la computadora portátil que Sharp usó cuando atacó a su propio empleador. Varios días después de que el FBI ejecutara la orden de allanamiento en su residencia, hizo que se publicaran noticias falsas sobre el incidente, para dañar la reputación de su empleador.

Casi inmediatamente después de que se supo la noticia sobre la violación de datos, el precio de las acciones de Ubiquiti (la famosa compañía mencionada) cayó repentinamente de alrededor de $390 a alrededor de $280.

Sharp se declaró culpable en febrero de 2023; fue sentenciado esta semana a pasar seis años en prisión seguidos de tres años en libertad condicional, y se le ordenó pagar una restitución de poco más de U$S 1.500.000.

Fuentes: BC | Naked Security

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!