Un entrepreneur tente de financer son nouveau projet grâce à un ransomware
Un Nigérian a été arrêté après avoir mis en place un stratagème visant à attirer des employés pour déployer des ransomwares sur les systèmes de leurs employeurs.
L’expert en sécurité Brian Krebs a rapporté hier lundi 22 novembre que Oluwaseun Medayedupin avait été arrêté vendredi par les autorités nigérianes.
Le suspect serait lié à une affaire de type “rançonnez votre employeur”, qui a été analysée par Abnormal Security en août.
Opération sous couverture
Les clients de la société de cybersécurité ont reçu des e-mails avec le sujet « Offre d’affiliation de partenariat », demandant que le destinataire envisage de devenir complice d’une cyberattaque.
Les e-mails offraient une récompense de 40 % sur une hypothétique rançon de 2,5 millions de dollars en bitcoins (BTC). Le message demandait aux destinataires d’installer le ransomware DemonWare sur le système de leur employeur.
Une adresse e-mail Microsoft Outlook et un identifiant Telegram étaient fournis aux intéressés. Les chercheurs d’Abnormal Security ont répondu à l’offre sous couvert d’une identité fictive et ont confirmé qu’ils avaient reçu un exécutable de ransomware hébergé sur deux sites web de partage de fichiers.
Des informations collectées sur LinkedIn
Cependant, la part du butin proposé a été réduite entre 120 000 dollars et 250 000 dollars une fois que l’équipe a commencé à communiquer avec l’opérateur du programme. L’équipe soupçonnait que l’initiative pouvait être d’origine nigériane. Interrogé, l’auteur de la campagne a expliqué qu’il tentait de créer un réseau social pour l’Afrique, appelé Sociogram. Il a partagé son profil LinkedIn avec son nom complet.
Le pirate précise qu’il « collecte ses informations de ciblage sur LinkedIn, qui, en plus d’autres services commerciaux qui vendent l’accès à des données similaires, est une méthode courante que les escrocs utilisent pour obtenir les coordonnées d’employés », explique Abnormal Security. « […] il avait initialement l’intention d’envoyer à ses cibles – tous des cadres supérieurs – des e-mails de phishing pour compromettre leurs comptes, mais après avoir échoué, il s’est tourné vers cette offre de ransomware. »
Oluwaseun Medayedupin a ensuite contacté Brian Krebs à la suite de son rapport, demandant que le nom Sociogram soit supprimé. En même temps, il ne confirme ni ne nie l’enquête d’Abnormal Security. Un autre message a suivi, via un registraire de domaine, appelant « M. Krebson » un « clout chasing monger » (un « marchand d’attention », NDLR).
Source : ZDNet.com
