Киберпрестъпници, представящи се за групировката Medusa ransomware, са се свързали с кореспондента на BBC по киберсигурност Джо Тайди и са му предложили да се превърне във вътрешна заплаха. Според разследването на самия журналист, хакерите са искали да използват неговия лаптоп, за да получат достъп до вътрешната мрежа на британския обществен оператор и след това да изискат откуп.

Първоначално „Syndicate“ – заплашващ хакер, представил се с прякора „Syn“ – е предложил на Тайди 15% от платения откуп, като по-късно е добавил още 10%, аргументирайки се, че откупът може да достигне десетки милиони долари.

Тактика на примамка и натиск

За да убеди журналиста, Syn е посочил примери от миналото, където инсайдъри уж са помогнали на Medusa да проникне в корпоративни мрежи. В опитите да засили доверието, хакерът дори е предложил 0,5 BTC в ескроу (над 55 000 долара).

Когато Тайди отказва да изпълни скрипт, изпратен от хакерите, мобилният му телефон е залят от вълна с известия за двуфакторна автентикация – техника, позната като MFA bombing или MFA fatigue. Въпреки това журналистът не се поддава и сигнализира екипа по информационна сигурност на BBC, след което устройството му е изолирано от корпоративната инфраструктура.

Medusa – история и методи

Групата Medusa ransomware се появява през януари 2021 г. и бързо добива популярност със своите атаки от тип double extortion и със старта на собствен портал за изнудване през 2023 г. Според доклад на CISA от март, Medusa стои зад над 300 атаки срещу критична инфраструктура в САЩ.

Основна тактика на групата е използването на initial access brokers – посредници, които продават първоначален достъп до корпоративни мрежи. Затова опитите за вербуване на инсайдъри – служители с висок достъп – са част от стратегията им.

Случаят с Джо Тайди показва доколко далеч са готови да стигнат киберпрестъпниците, за да получат вътрешен достъп до ключови организации. Той също така подчертава рисковете от инсайдърски заплахи – фактор, който често се пренебрегва за сметка на външните атаки.