27-годишен анализатор на данни беше признат за виновен в схема за изнудване срещу Brightly Software – технологична компания, придобита от Siemens през 2022 г.

Случаят е показателен за нарастващия риск от вътрешни заплахи, при които легитимен достъп до корпоративни системи се превръща в инструмент за атака.

Как се развива атаката: от служител към атакуващ

Според разследването, Камерън Къри използва позицията си като външен контрактор, за да получи достъп до:

• Данни за възнаграждения

• Лична информация на служители

• Вътрешни корпоративни документи

След като разбира, че договорът му няма да бъде подновен, той предприема следните действия:

• Експортира чувствителни данни в продължение на месеци

• Изпраща над 60 имейла с изнудване

• Изисква откуп от 2.5 милиона долара

Психологията на изнудването: натиск чрез репутационен риск

Атакуващият използва класическа, но ефективна стратегия:

• Заплаха за публично разкриване на заплати и лични данни

• Потенциален сигнал до SEC за регулаторно нарушение

• Ескалиращ финансов натиск (увеличение на исканата сума всеки месец)

Фокусът не е само върху данните, а върху репутационните и вътрешноорганизационните последици.

Mинимално плащане, бърза намеса на правоохранителните органи

В отговор на атаката:

• Компанията извършва ограничено плащане от 7 540 долара в криптовалута

• Сигнализира ФБР

• Сътрудничи на разследването

В резултат:

• Извършен е обиск в дома на извършителя

• Иззети са устройства с доказателства

• Повдигнати са обвинения по шест точки

Къри е изправен пред до 12 години лишаване от свобода.

Не е изолиран случай за компанията

Инцидентът се случва на фона на предходен пробив през 2023 г., при който:

• Бяха компрометирани близо 3 милиона потребители

• Изтекоха:

  • Имена

  • Имейли

  • Пароли

  • Телефонни номера

Това подчертава системен риск при управление на чувствителни данни.

Вътрешните заплахи са подценен риск

Случаят ясно показва:

Най-опасният атакуващ често вече е вътре в системата.

Ключовите фактори:

• Легитимен достъп

• Познаване на вътрешните процеси

• Липса на адекватен контрол върху данните

Какво липсва: контрол върху достъпа и поведението

Инцидентът разкрива потенциални слабости в:

• Управление на привилегии (least privilege)

• Мониторинг на достъп до чувствителни данни

• DLP (Data Loss Prevention) механизми

• Контрол при напускане на служители

Особено критичен момент е периодът около прекратяване на достъпа.

Препоръки: защита срещу вътрешни заплахи

Организациите трябва да прилагат:

• Стриктен контрол на достъпа до чувствителни данни

• Мониторинг на аномално поведение

• Автоматично отнемане на права при напускане

• DLP решения за предотвратяване на изтичане

• Одити на действията на привилегировани потребители

Доверието не е контрол

Случаят с Brightly е класически пример за преход от вътрешен потребител към вътрешен атакуващ.

Той показва, че:

• Технологичните защити не са достатъчни без контрол върху достъпа

• Репутационният риск може да бъде по-силен от техническия

• Вътрешните заплахи изискват същото внимание като външните атаки

В киберсигурността доверието трябва да бъде заменено с проверка и контрол.