Suspeito preso em esquema criminal incentivando funcionários a rodar ransomware no trabalho

Um homem nigeriano foi preso em conexão com um esquema que tentava atrair pessoas de dentro para implantar ransomware nos sistemas do empregador.

Em 22 de novembro, o especialista em segurança Brian Krebs relatou que o homem, Oluwaseun Medayedupin, foi preso pelas autoridades nigerianas na sexta-feira. 

O suspeito está supostamente ligado a um esquema de ‘resgate do seu empregador’ investigado pela Abnormal Security em agosto. 

Os clientes da empresa de segurança cibernética receberam e-mails com o assunto “Oferta de afiliado de parceria”, solicitando que o destinatário considerasse ser cúmplice de um ataque cibernético. 

Os e-mails ofereceram uma redução de 40% de um pagamento de ransomware antecipado de $ 2,5 milhões  em Bitcoin (BTC), feito depois que os destinatários instalaram o ransomware DemonWare nos sistemas de seus empregadores. 

Um endereço de e-mail do Microsoft Outlook e um identificador de Telegram foram fornecidos para as partes interessadas. Os pesquisadores da Abnormal Security entraram em contato com o disfarce de uma pessoa fictícia e confirmaram que receberam um executável ransomware hospedado em dois sites de compartilhamento de arquivos.

No entanto, o ‘corte’ do ransomware em oferta foi reduzido para entre $ 120.000 – $ 250.000 assim que a equipe começou a se comunicar com o operador do esquema.   

A equipe suspeitou que a iniciativa de ransomware pode ser de origem nigeriana. Quando questionado, o ator da ameaça disse que estava tentando construir uma rede social para a África chamada Sociogram e compartilhou seu perfil no LinkedIn com seu nome completo.  

“De acordo com o ator, ele coleta suas informações de segmentação do LinkedIn, que, além de outros serviços comerciais que vendem acesso a dados semelhantes, é um método comum que os golpistas usam para obter informações de contato dos funcionários”, disse a Abnormal Security. “[…] ele tinha a intenção original de enviar a seus alvos – todos os executivos de nível sênior – e-mails de phishing para comprometer suas contas, mas depois disso não teve sucesso, ele se voltou para esse pretexto de ransomware.”

Medayedupin então alcançou Krebs após seu relatório, pedindo que o nome Sociograma fosse removido, mas ao mesmo tempo, sem confirmar nem negar a investigação da Abnormal Security. Outra mensagem foi enviada por meio de um registrador de domínio, chamando o “Sr. Krebson” de “traficante de perseguição de influência”.

Espera-se que as acusações sejam feitas contra Medayedupin, supostamente com 23 anos de idade, esta semana. 

Fonte: https://www.zdnet.com/