[KRADZIEŻ, 17.05.2025] kradzież $700 tysięcy [ET]

[Anonimowy]

Dnia 17.05.2025 do kilkunastu dużych firm na terenie Los Angeles, wliczając w to firmy, logistyczne, ubezpieczeniowe jak i kliniki medyczne (w tym duża ilość danych osobowych) na poczty gmail wpłyneły fałszywe maile, o aktualizacji od google. Po kliknieciu przycisku "aktualizuj teraz" użytkownika przenosiło do innej, fałszywej strony google gdzie mógł pobrać "rzekome" ulepszenie systemu, w rzeczywistości było to czyste oprogramowanie ransomware, szyfrujące wszystkie dane znajdujące się na komputerach firmy. Jedną z ofiar, stała się jedna z potężniejszych firm ubezpieczeniowych "LexSecure", w okolicach godziny pietnastej, wybuchlą panika w budynku. W zaszyfrowanej wiadomości, która otwierała się po pobraniu ransomware, można było odczytać żądanie okupu w wysokości siedmiuset tysięcy dolarów na portfel kryptowalutowy, w przeciwnym wypadku zagrożono usunieciem jak i wyciekiem danych osobowych kilkunastu tysiecy osób do sieci. Właściciel firmy, pod wpływem presji czasu, zapłacił okup, zaraz po tym zgłosił sprawe do odpowiednich organów scigania

FAKTY:
- domena, jak i subdomena fałyszwej strony google została usunięta.
- domena była postawiona na zagranicznych serwerach, a sprawcy używali VPN jak i innych rzeczy, pomagających zataić ślady.
- okup został zrealizowany za pomocą kryptowalut.

[gravgor]

**Sprawa wpłynęła do Federal Bureau of Investigation. Rozpoczęto śledztwo w sprawie zorganizowane ataku ransomware. Agenci FBI zabezpieczyli serwery, stacje robocze oraz infrastrukturę sieciową firmy LexSecure. Przesłuchano kluczowych pracowników działu IT oraz bezpieczeństwa, równolegle agenci rozpoczęli analize portfela kryptowalutowego. Śledczy pracują nad odtworzeniem pełnej trasy sieciowej i lokalizacji zagranicznych serwerów.**

 

1. Kto jako pierwszy kliknął złośliwy link, czy był to szeregowy pracownik czy można osoba z dostępem do wrażliwych systemów?
2. Jakim cudem domena podszywająca się pod Google przeszła przez filtry bezpieczeństwa Gmaila oraz systemów firmowych? Jak nie została ona wykryta jako próba phisingu i przerzucona do spamu?
3. Osoba odpowiedzialna za pierwsze kliknięcie w link mogła działać nieświadomie, czy jednak była pionkiem wewnętrznego sabotażu w firmie?
4. Jak długo strona była aktywna zanim została zdjęta?
5. Czy podczas analizy kodu ransomware można odnaleźć sygnatury powiązane z grupami?
6. Czy kryptowalutowy portfel odbiorcy okupu jest nowy, czy powiązany z jakimiś innymi atakami? Czy śledczym udało się prześledzić gdzie i jak środki zostały przesłane dalej? Jeśli tak, to co mogli ustalić?
7. Jakie dane zostały konkretnie zaszyfrowane?

[Anonimowy]

pozniej odpisze, bo teraz srednio mam jak dobrze? ale do dzis sie postaram odpowiedziec bankowo

[Anonimowy]

1. Szeregowy pracownik, maile zostały rozsłane na poczty do wszystkich pracowników.
2. Subdomena nie podszywala się do konca pod google, był to jedynie fałszywy link przekierujący zawierający "rzekoma" aktualizacje. Filtry bezpieczeństwa
systemow firmowych nie mogly tego wyłapać z racji na to, że wiekszość działo się na gmailu. Nie została ona przerzucona do spamu, z racji na to, że mail
został wysłany jedynie do kilku firm.
3. Nie idzie tego rozpoznać, najprawdopodobniej mogła działać nieświadomie.
4. Do czasu wpłynięcia okupu na portfel kryptowalutowy, widniala pare chwil zaraz po tym zostala skasowana.
5. nie
6. Nie jest powiązany z innymi atakami. Nie
7. Dane, które znajdowały się na komputerach. Głównie dane osób

[gravgor]

1. Czy inne firmy, które otrzymały podobne wiadomości, również odnotowały incydenty – czy LexSecure była jedyną, która kliknęła?

2. Czy kod złośliwego oprogramowania był customowy i napisany od zera, czy wykorzystano ogólnodostępne frameworki ransomware?

3. Czy można ustalić, z jakiego kraju zarejestrowano domenę przekierowującą? Czy rejestracja odbyła się przy użyciu wcześniej znanych tożsamości cyfrowych?

4. Czy po skasowaniu strony, środki zostały przetransferowane przez miksery kryptowalutowe?

5. Czy zaszyfrowane dane osobowe obejmowały jedynie informacje podstawowe (np. imię, nazwisko, adres), czy także dane medyczne, finansowe, numery polis lub informacje wysokiego ryzyka?

[Anonimowy]

1. Mogło się zdarzyć
2. napisany
3. nie. Słup
4. prewencja
5. wszystko co znajdowało sie w systemie, i było na wyjecie ręki