Biz contratou e demitiu um falso funcionário de TI norte-coreano – então começaram os pedidos de resgate
É um padrão que surge cada vez com mais frequência: uma empresa preenche um cargo de prestador de serviços de TI, sem perceber que contratou por engano um agente norte-coreano. O falso trabalhador começa quase imediatamente a extrair dados confidenciais, antes de ser demitido por baixo desempenho. Então os pedidos de resgate de seis dígitos – acompanhados de provas dos arquivos roubados – começam a aparecer.
Os respondentes de incidentes da Secureworks encontraram esse padrão durante “numerosas investigações”, disseram-nos. E as “múltiplas” tácticas utilizadas nestas fraudes alinham-se com a equipa da Nickel Tapestry da Coreia do Norte, que depende dos falsos esquemas de trabalhadores de TI para encher os cofres de Kim Jong Un. De acordo com o governo dos EUA, estes fundos ilegais contribuir para a RPDC programas de armas ilegais.
“O surgimento de demandas de resgate marca um afastamento notável dos esquemas anteriores da Nickel Tapestry”, disse a equipe de pesquisa da Secureworks Counter Threat Unit comentou em um relatório.
“O incidente de extorsão revela que a Nickel Tapestry expandiu suas operações para incluir roubo de propriedade intelectual com potencial de ganho monetário adicional por meio de extorsão”, e isso “altera significativamente o perfil de risco” para empresas que contratam acidentalmente um técnico norte-coreano”, disse Secureworks. avisado.
O roubo de dados seguido de extorsão segue, no entanto, o padrão de táticas crescentes documentado por um anterior Alerta do FBI e está em linha com os esquemas contínuos de ganhar dinheiro dos hackers apoiados pelo governo norte-coreano.
Outras táticas de falsos trabalhadores foram documentadas pelo federais e amigos no Reino Unido [PDF] e Austrália. A equipe de resposta a incidentes da Secureworks observou esses falsos contratados solicitando alterações nos endereços de entrega de laptops fornecidos pelo empregador, que são então redirecionados para fazendas de laptops – tanto para ocultar a localização do novo contratado quanto para estabelecer acesso persistente aos sistemas corporativos.
Ou, em alguns casos, os golpistas norte-coreanos pedirão para usar um laptop pessoal em vez de um dispositivo fornecido pela empresa e indicarão sua preferência pelo uso de um desktop virtual.
Você foi enganado
Em um caso documentado pela Secureworks, o falso funcionário exfiltrou informações proprietárias para um local pessoal do Google Drive usando o PC virtual corporativo.
Depois de demitir o cibercriminoso, o negócio recebeu “uma série de e-mails” – um incluindo anexos de arquivo .ZIP contendo amostras dos documentos roubados e outro exigindo um resgate de seis dígitos, pago em criptomoeda, ou então os criminosos vazariam os dados confidenciais Informação.
“Mais tarde naquele dia, um e-mail de um endereço do Gmail compartilhou uma pasta do Google Drive contendo evidências adicionais de dados roubados”, observa o relatório.
Os caçadores de ameaças observam que também detectaram criminosos usando a Área de Trabalho Remota do Chrome para gerenciar e acessar remotamente sistemas corporativos, e AnyDesk para acesso remoto – apesar dessa ferramenta normalmente não ser necessária para seus trabalhos.
“A análise dos logs do AnyDesk em um compromisso revelou conexões com endereços IP da Astrill VPN, indicando que o aplicativo faz parte do conjunto de ferramentas da Nickel Tapestry”, fomos informados.
Outra indicação de que você pode ter contratado acidentalmente um criminoso norte-coreano: esses funcionários de TI evitam videochamadas tanto quanto possível, alegando que as webcams dos computadores fornecidos pela empresa não estão funcionando.
Para ser justo: essa desculpa também é útil em dias sem maquiagem e com cabelos crespos para legítimos repórteres funcionários.
Secureworks relata que suas evidências forenses encontraram software gratuito de clonagem de vídeo virtual SplitCam – que pode ajudar a disfarçar a identidade e localização dos falsos trabalhadores – em uso nos laptops dos golpistas. “Com base nestas observações, é altamente provável que o grupo de ameaças esteja a experimentar vários métodos para acomodar os pedidos das empresas para permitir chamadas de vídeo”, observam os analistas de segurança.
Eles também aconselham as empresas a ficarem atentas a “comportamentos financeiros suspeitos” – como atualizar contas bancárias para depósitos de contracheque várias vezes em um curto período. Especificamente, os pesquisadores observaram o uso de contas bancárias operadas pelo serviço de pagamento digital Payoneer Inc. nesses golpes.
Além disso, se você inadvertidamente contratou um falso funcionário de TI norte-coreano, é provável que esteja empregando mais de um golpista – ou até mesmo o mesmo indivíduo que adotou várias personas.
“Em um compromisso, surgiram várias conexões entre vários empreiteiros empregados pela empresa, com o Candidato A fornecendo uma referência para uma contratação futura (Candidato B) e outro empreiteiro provavelmente fraudulento (Candidato C) substituindo o Candidato B após a rescisão desse contratante”, o escreveu a equipe, acrescentando que em outro incidente eles pegaram vários indivíduos usando o mesmo endereço de e-mail.
“Esta observação indica que os trabalhadores de TI norte-coreanos estão frequentemente co-localizados e podem partilhar empregos”, segundo o relatório.
Como não ser enganado
Para evitar ser vítima desse golpe de trabalhador remoto de TI, a Secureworks sugere a verificação da documentação dos candidatos a empregos e a realização de entrevistas pessoais, se possível.
O provedor de conscientização e treinamento da Infosec, KnowBe4, provavelmente apoiaria esta recomendação. A loja de segurança conduziu quatro entrevistas em vídeo com um candidato e verificou se sua aparência correspondia às fotos de um formulário de emprego, mas ainda assim contratado um falso trabalhador de TI norte-coreano para uma função de engenharia de software em sua equipe de IA.
Também vale a pena ficar atento aos novos contratados que solicitam alteração de endereço durante a integração ou encaminham contracheques para serviços de transferência de dinheiro. E, como sempre, restrinja o uso de software de acesso remoto não autorizado e limite o acesso a sistemas não essenciais.
A Mandiant, empresa de segurança da informação de propriedade do Google, oferece conselho semelhante sobre como contratar – ou não contratar – agentes norte-coreanos.
E, como vários outros candidatos a emprego e técnicos apontaram no Reddit: cuidado com contratações baratas. Como acontece com a maioria das coisas na vida, se parece bom demais para ser verdade, provavelmente é. ®