خبرنگار BBC هدف تماس گروه باج‌افزاری برای همکاری در هک یک شرکت رسانه‌ای قرار گرفت

بازیگران تهدید که خود را نمایندگان باند باج‌افزاری Medusa معرفی کرده‌اند، تلاش کردند یک خبرنگار BBC را با پیشنهاد پرداخت مبالغ قابل‌توجه، به یک insider threat تبدیل کنند.

Joe Tidy، خبرنگار امنیت سایبری BBC، در گزارشی افشا کرد که مهاجمان قصد داشتند از لپ‌تاپ او برای نفوذ به شبکهٔ این رسانهٔ خدمات عمومی بریتانیا استفاده کرده و سپس درخواست باج کنند.

بر اساس این گزارش، در صورت دسترسی به سیستم‌های داخلی BBC، مهاجم برنامه داشت داده‌های حساس را سرقت کرده و سازمان را تحت فشار برای پرداخت باج قرار دهد. طبق پیشنهاد مطرح‌شده، دست‌کم ۱۵٪ از مبلغ پرداختی باج به Tidy بابت فراهم‌کردن دسترسی اولیه تعلق می‌گرفت.

Tidy اعلام کرد که در ماه ژوئیه از طریق Signal توسط یک مجرم سایبری با نام “Syndicate” (Syn) مورد تماس قرار گرفته است. این فرد در ابتدا ۱۵٪ از مبلغ باج پرداختی را در صورت همکاری پیشنهاد داد تا Medusa به سیستم‌های BBC دسترسی یابد.

در ادامه، Syn برای ترغیب بیشتر پیشنهاد خود را با ۱۰٪ اضافه تقویت کرد و اظهار داشت که «تیم آن‌ها می‌تواند در صورت موفقیت در نفوذ به این شرکت، باجی در مقیاس ده‌ها میلیون دلار مطالبه کند.»

او در تلاش‌های بعدی برای جلب همکاری Tidy حتی مطرح کرد که چنین موفقیتی می‌تواند باعث شود خبرنگار دیگر نیازی به کار کردن نداشته باشد و تنها از سهم باج زندگی کند.

عملیات باج‌افزاری Medusa نخستین‌بار در ژانویهٔ ۲۰۲۱ ظهور کرد و با حملات double-extortion شهرت یافت. این گروه در سال ۲۰۲۳ یک پورتال اختصاصی برای اخاذی راه‌اندازی کرد.

در ماه مارس، CISA گزارشی دربارهٔ Medusa منتشر کرد و این باند را مسئول بیش از ۳۰۰ حمله علیه سازمان‌های زیرساخت حیاتی در ایالات متحده دانست. به گفتهٔ این نهاد، هستهٔ اصلی Medusa از طریق انجمن‌های جرایم سایبری و darknet marketplace‌ها، initial access brokerها را به خدمت می‌گیرد و تمرکز اصلی آن‌ها بر مرحلهٔ پس از نفوذ است.

Tidy گزارش می‌دهد که نمایندهٔ منتسب به این باند باج‌افزاری، در صورت همکاری، وعدهٔ ناشناس‌ماندن داده و برای اثبات ادعای خود به چندین نمونهٔ خبری گذشته اشاره کرده است که به گفتهٔ او، حاصل همکاری یک rogue insider بوده که دسترسی آسان به شبکهٔ هدف را برای Medusa فراهم کرده است.

کارکنان کم‌درآمد، ناراضی یا فاقد اصول اخلاقی در برخی موارد تنها در برابر دریافت چند صد دلار، میلیون‌ها دلار خسارت به سازمان‌ها وارد کرده‌اند؛ موضوعی که برخی بازیگران تهدید بر آن حساب باز می‌کنند. باندهای باج‌افزاری مانند LockBit نیز سال‌هاست که در حال بررسی ظرفیت کارکنان خائن برای فروش دسترسی‌های داخلی هستند.

Syn حتی برای متقاعد کردن خبرنگار پیشنهاد کرد پیش از شروع هرگونه نفوذ، معادل ۰٫۵ BTC (بیش از ۵۵٬۰۰۰ دلار در آن زمان) به‌عنوان escrow در یک انجمن هکری قرار دهد.

Syn در پیام خود از طریق Signal به Tidy گفت:
«ما بلوف نمی‌زنیم یا شوخی نمی‌کنیم – هدف رسانه‌ای نداریم، تنها برای پول هستیم و یکی از مدیران اصلی ما خواست تا با شما تماس بگیرم.»

Tidy که خبرنگار حوزهٔ امنیت سایبری است، بر این باور است که مهاجمان احتمالاً او را با یکی از کارکنان بخش امنیت سایبری BBC با دسترسی سطح بالا اشتباه گرفته‌اند.

Syn از او خواست یک script اجرا کند، اما زمانی که Tidy تعلل کرد، تلفن او با حجم زیادی از درخواست‌های two-factor authentication بمباران شد. این تاکتیک که به نام‌های MFA bombing، MFA fatigue یا MFA spam شناخته می‌شود، شامل تلاش‌های خودکار برای ورود با اعتبارنامهٔ قربانی است تا موجی از درخواست‌های احراز هویت ایجاد شود و در نهایت قربانی تسلیم شده و ورود را تأیید کند.

با این حال، Tidy تسلیم نشد و موضوع را به تیم information security BBC گزارش داد. به‌عنوان اقدام احتیاطی، دسترسی او به زیرساخت‌های سازمان به‌طور کامل قطع شد.

در پیامی بعدی، نمایندهٔ منتسب به Medusa بابت درخواست‌های ورود عذرخواهی کرده و اعلام کرد پیشنهاد همچنان تا چند روز معتبر است. اما پس از بی‌پاسخ‌ماندن پیام‌ها، مهاجم حساب Signal خود را حذف کرد.