Joe ordenadoCyber ​​correspondiente, servicio mundial de la BBC

BBC Joe Tidy viendo un teléfono. Tiene el pelo corto y castaño y usa una camisa azul claro.BBC

Al corresponsal Cyber ​​Joe Tidy se le ofreció un acuerdo de delincuentes para ayudar a piratear la BBC

Como muchas cosas en el mundo oscuro del delito cibernético, una amenaza de iniciado es algo que muy pocas personas tienen experiencia.

Incluso menos personas quieren hablar de eso.

Pero me dieron una experiencia única e inquietante de cómo los piratas informáticos pueden aprovechar los iniciados cuando yo mismo fui propuesto recientemente por una pandilla criminal.

«Si está interesado, podemos ofrecerle el 15% de cualquier pago de rescate si nos da acceso a su PC».

Fue el mensaje que recibí inesperadamente de alguien llamado Union que me rompió en julio por la señal de la aplicación CAT cifrada.

No sabía quién era esta persona, pero instantáneamente supe qué era.

Me ofrecieron parte de una suma de dinero potencialmente importante si ayudaba a los ciberdelincuentes a acceder a los sistemas BBC a través de mi computadora portátil.

Robarían datos o instalaban software malicioso y mantendrían a mi empleador en rescate y secretamente obtendría una taza.

Había escuchado historias sobre este tipo de cosas.

De hecho, solo unos días antes del mensaje sin frases, las noticias surgieron de Brasil de que un trabajador de computadoras había sido arrestado por haber vendido su conexión a los Piratas que, según la policía, condujo a una pérdida de $ 100 millones (74 millones de libras esterlinas) por la víctima del banco.

Decidí jugar con Union después de recibir consejos sobre un editor de la BBC. Estaba impaciente por ver cómo los delincuentes hacían estos acuerdos sombreados con empleados potencialmente traicioneros en un momento en que los ataques cibernéticos en todo el mundo se vuelven más impactantes y perjudiciales para la vida diaria.

Le dije a Syn, que había cambiado su nombre, media conversación, que estaba potencialmente interesado pero que necesitaba saber cómo funciona.

Explicaron que si les daba mis detalles de conexión y mi código de seguridad, PI sería la BBC y luego extorsionaron a la compañía por un rescate de bitcoin. Estaría en línea para parte de este pago.

Aumentaron su oferta.

«No sabemos cuánto le paga la BBC, pero ¿qué sucede si toma el 25% de la negociación final cuando extraemos el 1% del ingreso total de la BBC? Ya no necesitaría trabajar».

Syn estimó que su equipo podría exigir un rescate en decenas de millones de personas si han logrado infiltrarse en la empresa.

La BBC no ha adoptado públicamente si pagaría o no a los Piratas, pero el consejo de la Agencia Nacional del Crimen no debe pagar.

Sin embargo, los piratas continuaron su tierra.

El pirata envía al periodista un mensaje de dicho

Una captura de pantalla de la conversación con el criminal en la aplicación de la señal. Un equipo de SOC es un centro de seguridad: un equipo de ciberseguridad responsable de monitorear las amenazas

Syn dijo que estaría en línea por millones. «Quitaríamos este gato para que nunca encuentres», insistieron.

El pirata dijo que tuvo un gran éxito con los acuerdos de conclusión con iniciados en ataques anteriores.

Los nombres de dos compañías que fueron pirateadas este año se han compartido como ejemplos desde el momento en que se concluyó un acuerdo: una compañía de atención médica británica y un proveedor de servicios de emergencia estadounidense.

«Te sorprendería la cantidad de empleados que nos darían acceso», dijo Syn.

Syn dijo que era un «gerente moderno» para el grupo de delitos cibernéticos llamado Medusa. Afirmó ser occidental y el único inglés en la pandilla.

Medusa es una operación de ransomware como servicio. Cualquier afiliado penal puede registrarse para su plataforma y usarla para piratear organizaciones.

El sitio web de Darknet de Medusa Gang con nombres corporativos se ha ennegrecido

El sitio web Darknet Darknet de Medusa tiene docenas de víctimas en la lista

Según un informe de investigación de la Compañía de Ciberseguridad Cibernética, los administradores de Medusa sirven de Rusia o uno de sus estados aliados.

«El grupo evita dirigirse a organizaciones en Rusia y la Commonwealth de estados independientes y (su actividad es principalmente) en los foros web oscuros en el idioma ruso».

Syn me envió con orgullo un enlace a un Advertencia pública estadounidense sobre la Medusa que fue publicado en marzo. Las autoridades cibernéticas estadounidenses dijeron que durante los cuatro años cuando el grupo estaba activo, pirateó «más de 300 víctimas».

Syn insistió en que eran serio al concluir un acuerdo para vender secretamente las llaves del reino de mi empresa a cambio de un gran día de pago.

Realmente nunca sabes con quién hablas, así que le pedí a SYN que lo demostrara. «Podrías ser niños que juegan o alguien que intenta atraparme», sugerí.

Respondieron con un enlace a la dirección de Medusa de Darknet y me invitaron a contactarlos a través de la tope del grupo, un servicio de mensajería seguro amado por los cibercriminales.

SYN fue muy impaciente y una mayor presión sobre mí para responder.

Enviaron un enlace a la página de reclutamiento de Medusa en un foro exclusivo de delito cibernético que me instó a comenzar el proceso de seguridad de 0.5 bitcoin (alrededor de $ 55,000) en un acuerdo de depósito.

De hecho, fue que me garantizan este dinero al menos una vez que di mis detalles de conexión.

«No nos acariciamos o no lo hacemos: no tenemos ningún objetivo con respecto a los medios de comunicación, solo somos solo por dinero y dinero y uno de nuestros gerentes principales quería que me contacte con usted».

Aparentemente me eligieron porque asumieron que técnicamente me había juzgado y que tengo acceso de alto nivel a los sistemas informáticos de la BBC (no lo hago). Todavía no estoy completamente seguro de que SYN supiera que yo era un corresponsal cibernético y no un empleado cibernético o empleado de la computadora.

Una captura de pantalla de la conversación textual, donde Joe Tidy pregunta cómo sabe que los delincuentes honrarían este acuerdo, y Syn dijo

Los delincuentes han prometido depositar un depósito

Me hicieron muchas preguntas en la red de computadoras de la BBC a la que no habría respondido incluso si lo supiera. Luego enviaron una mezcla complicada de código de computadora y me pidieron que lo ejecutara como un pedido en mi computadora portátil e informara lo que dijo. Querían saber qué acceso interno de computadora, tuve que comenzar a planificar sus próximos pasos una vez dentro.

En este punto, he estado hablando con SYN durante tres días y decidí que lo había llevado bastante lejos y que necesitaba consejos adicionales de los expertos en seguridad de la información de la BBC.

Era domingo por la mañana, así que mi plan era hablar con mi equipo a la mañana siguiente.

Así que me detuve por el tiempo. Pero Syn se aburrió.

«¿Cuándo puedes hacer esto? No soy un paciente», dijo el pirata.

«¿Supongo que no quieres vivir en la playa de Bahamas?» Puse presión.

Me dieron una fecha límite de medianoche el lunes. Entonces carecían de paciencia.

Mi teléfono comenzó a hacer un ping con notificaciones de autenticación de dos factores. Las ventanas emergentes vinieron de la aplicación de conexión de seguridad de la BBC pidiéndome que verifique que estaba tratando de conectarme a mi cuenta de BBC.

Pantalla de teléfono con muchas ventanas emergentes llenando la pantalla de dicho

Mientras mantenía mi teléfono en mis manos, la pantalla se llenó con una nueva solicitud cada minuto.

Sabía exactamente qué era: una técnica pirata conocida como el bombardeo MFA. Los atacantes bombardean a una víctima de estas ventanas emergentes tratando de restablecer una contraseña o conectarse desde un dispositivo inusual.

Finalmente, las prensas de la víctima aceptan por error o para hacer que las ventanas emergentes desaparezcan. Así es como Uber fue pirateado en 2022.

Estar en la recepción fue inquietante.

Los delincuentes habían retirado la conversación relativamente profesional sobre la seguridad de mi solicitud de chat en la pantalla de inicio de mi teléfono. Parecía el equivalente de tener criminales golpeando agresivamente mi puerta principal.

Estaba confundido con el cambio de tácticas, pero demasiado cauteloso para abrir mis conversaciones con ellas en caso de que accidentalmente haga clic en Aceptar. Esto habría dado a los piratas informáticos acceso inmediato a mis cuentas de la BBC.

El sistema de seguridad no lo habría informado tan malicioso como habría parecido una solicitud de conexión o restablecimiento de contraseña normal de mí. Después de eso, los piratas informáticos podrían haber comenzado a buscar acceso a sistemas de BBC sensibles o importantes.

Como periodista y trabajador de no competencia, no tengo acceso de alto nivel a los sistemas de la BBC, pero siempre fue inquietante y efectivamente significaba que mi teléfono era inutilizable.

Llamé al equipo de seguridad de la información de la BBC y, como precaución, acordamos desconectarnos por completo de la BBC. Sin correos electrónicos, sin intranet, sin herramientas internas, sin privilegios.

El mensaje extrañamente tranquilo de los Piratas llegó más tarde en la noche.

«El equipo se disculpa. Estamos haciendo su página de conexión de la BBC y lamentamos mucho si eso le causó problemas».

Le expliqué que ahora estaba encerrado de la BBC y que estaba molesto. Syn insistió en que el acuerdo todavía estaba allí si quisiera. Pero después de que no respondí durante unos días, eliminaron su cuenta de señal y desaparecieron.

Finalmente fui reinstalado al sistema BBC, pero con protecciones adicionales en mi cuenta. Y con la experiencia adicional de estar dentro de un ataque de amenaza inicial.

Una visión general aterradora de las tácticas en la evolución constante de los ciberdelincuentes y que destacó toda un área de riesgo para las organizaciones que realmente no aprecié hasta que yo mismo estaba en la recepción.

Una pancarta promocional verde con cuadrados negros y rectángulos que forman píxeles, que se mueven de la derecha. El texto dice:

Enlace de origen

RELATED ARTICLESMORE FROM AUTHOR