Van a lassan már 12 éve velünk élő ransomware, ahol az erős, egyedi titkosítás vagy kiszivárogtatás könnyen hazavághatja egy szakember, vagy egy komplett vállalkozás munkáját. Itt a támadók az utóbbi időben már jellemzően elég tudatosan veszik célba az áldozatokat, előzetesen megnézve azok éves bevételét, az esetleges GDPR büntetés mértékét, és eszerint szabják testre számukra a követelt váltságdíj összegét.
És akkor vannak az áldozat cégek, ahol most már csak a kérdés egyik fele, hogy volt-e megbízható mentés, mert a doxxing megjelenése óta a lopott adatok esetleges eladása/kiszivárogtatása sokszor nagyobb csapást jelent számukra, és mégis hajlandóak fizetni.
Ezekben a szituációkban sokan alkalmaznak olyan külsős it biztonsági szakembereket, akik ezt a hasznos túsztárgyalós munkát eredményesen tudják levezényelni, gyakran jelentős kedvezményeket elérve a váltságdíj fizetésnél.
Nagyon nem minden persze, hogy kit bérelünk fel. Igaz ritkán, de a valódi segítőkkel szemben előfordult például, hogy ezen "segítők" közül néhányan a befolyt pénzen osztozó bűntársak voltak, de konkrétan az is megtörtént, hogy a Dr.Shifro nevű fehérorosz visszafejtést ígérő ügynökség valójában kifizeti jelentős kedvezménnyel a váltságdíjat a bűnözőknek, majd a végszámlához egyszerűen hozzáadja a saját nem kicsi haszonkulcsát.
A mostani történetünkben egy olyan ransomware-mentő és rendszer-helyreállító csapat bukott le, akik eleinte becsületesen dolgoztak, ám egy idő után kísértésbe estek a hatalmas bevételek láttán. A csoport tagjai titokban szándékosan zsarolóvírust telepítettek ügyfeleik rendszereire, így gyakorlatilag mesterségesen generálták azokat a veszélyhelyzeteket, amiktől utána jelentős összegért "megmentették" az így becsapott áldozatokat.
A bűnbanda ezzel mintegy 1 millió dolláros bevételt szerzett, a célpontok között pedig egészségügyi intézmények is voltak.
A cikk szerint a szakértők, miközben cégeik nevében professzionális incidenskezelést, adat-helyreállítást, titkosított adatmentést és mentesítést kínáltak, valójában saját fejlesztésű rejtett ransomware-t vetettek be, azzal fenyegetve ügyfeleiket, hogy a további támadások megakadályozása érdekében fizessenek nagyobb összegeket nekik, vagy kössenek velük tartós szolgáltatási szerződést.
2023-tól kezdődően egészen addig sikeresen működtek, amíg több pórul járt cég is jelezte: gyanúsan sok esetben ugyanaz a "megmentő csapat" tudott segíteni, és ekkor kezdett a hatóság is vizsgálódni.
Az FBI beszámolója szerint két amerikai kiberbiztonsági szakember: Kevin Tyler Martin és Ryan Clifford Goldberg ellen folyik a nyomozás, akik a DigitalMintnél, illetve a Sygnia kiberbiztonsági cégnél dolgoztak saját zsebre. Az eredeti cikk címe is sokatmondó: "Hogyan cseréld el a 214 ezer dolláros kiberbiztonsági állásodat egy börtöncellára?"
Az egyik lehetséges tanulság a sok közül, hogy a cégeknek a külsős munkaerő esetében nemcsak a technikai, hanem a megbízhatósági tényezőkről is alaposan meg kell győződniük, hogy ne kerüljenek hasonló csapdába.
