Skip naar inhoud

Ransomware gangs seek people skills for negotiations

Wilt u deze bijdrage aanbevelen? Dat kan via:

The process of negotiating a ransomware payment is delicate, and cyber criminal organisations are prepared to offer good terms to those with the right skillsets
The increasing sophistication of the cyber criminal underground is now reflected in how ransomware operations put together their crews, seeking out specialist talent and skillsets. Indeed, some gangs are coming to resemble corporations, with diversified roles and outsourced negotiations with victims, according to new research published by Kela, a provider of threat intelligence services.Kela analyst Victoria Kivilevich and other members of the team spent over a year monitoring the dark web cyber job ecosystem, and quickly established the existence of four main areas of specialization:

  • Coding, or acquiring malware with needed capabilities.
  • Infecting targeted victims.
  • Maintaining access to victim systems, and exfiltrating and processing their data.
  • Monetization, cashing out, selling, or otherwise monetizing the stolen data.

Each of these stages involves various malicious activities where various skills may come in handy, and Kivilevich said her team had found that when looking specifically at the ransomware supply chain, many actors are concentrating on the extraction niche, focusing on escalating their privileges within the compromised network, and the monetization niche, where actors are involved in extracting ransoms during victim negotiations.

People with the appropriate – and not necessarily technical – skillsets to succeed in ransom negotiations are particularly valued, Kela found. “We observed multiple posts [on the dark web] describing a new role in the ransomware ecosystem, negotiators, whose purpose is to force the victim to pay a ransom using insider information and threats,” said Kivilevich.

“Victims started using negotiators – while a few years ago there was no such profession, now there is a demand for negotiating services. Ransomware-negotiation specialists partner with the insurance companies and have no lack of clients. Ransom actors had to up their game as well, in order to make good margins.

“As most ransom actors probably are not native English speakers, more delicate negotiations – specifically around very high budgets and surrounding complex business situations – required better English. When REvil’s representative was looking for a ‘support’ member of the team to hold negotiations, they specifically mentioned ‘conversational English’ as one of the demands. This is not a new case: actors are interested in native English speakers to use for spear-phishing campaigns.”

Kivilevich found several threads on Russian-speaking underground forums where cyber criminals were looking for negotiators and discussing their work.

In the image below – which Kela translated from Russian using Google services – a threat actor who has already established persistence on the network of a victim in Saudi Arabia appears to call for an insider, or someone with contacts, at Middle Eastern cybersecurity companies who can hand over contact details for the victim’s IT managers in order to conduct negotiations. Remuneration in this case would be between $1m and $5m (£720,000 to £3.6m, or €840,000 to €4.22m), or likely about 20% of the ransom.

And just as a legitimate organisation might book a contractor who turns out to be a bad fit, ransomware gangs can also make bad hiring decisions, and on some of the forums, Kela found evidence of disagreements between ransomware gangs and their hired guns (see image below).

In one documented instance, miscommunication between a Conti affiliate and a hired negotiator blew up into an outright dispute in the attempted April 2021 extortion of the Broward County Public School District in Florida.

The negotiator claimed that they had insider information that would force the victim to pay up – they had demanded $40m, in itself a massive overreach – but then accused Conti’s affiliate of meddling in the negotiations and running their efforts. Conti countered by accusing the negotiators of behaving unprofessionally.

Others then weighed in on the forum with their experiences, with a representative of REvil – currently at the centre of the unfolding Kaseya incident – accusing the negotiator of being a scammer.

Kela’s report goes into more detail about some specialist roles ransomware operators are prepared to pay big bucks for, such as access brokers, intrusion specialists (or penetration testers), and owners of botnets for associated distributed denial of service (DDoS) attacks. It can be read in full here.

Lees ook:

Een blik achter de schermen: onze teardown van de nieuwe Mac Mini M2 Pro

In deze blogpost zullen we ingaan op de nieuwste aanwinst van Apple: de Mac Mini met de M2 Pro chip. Hoewel er veel aandacht gaat naar de nieuwe MacBooks, vind ik de Mac Mini de interessantste release van Apple van het afgelopen anderhalf jaar.

Het groeiende gevaar van malvertising via Google Ads

Er is een groeiend gevaar van malvertising via Google Ads, waarbij slechteriken echte websites klonen en de downloadlink vervangen door malware. Dit wordt versterkt door de integratie van Google Ads in de echte zoekresultaten, waardoor het moeilijk is om te onderscheiden of een zoekresultaat een ad is of niet. Hierdoor zijn mensen geneigd om op deze advertenties te klikken, in de veronderstelling dat het een echte zoekresultaat is.

EasyComp Host lanceert vernieuwde website met verdubbelde server capaciteit en lagere prijzen!

We zijn trots om aan te kondigen dat EasyComp Host een vernieuwde website heeft gelanceerd met nog meer krachtige hostingopties. Naast onze nieuwe website, hebben we de capaciteit van onze server rack verdubbeld en zijn we volledig in eigen beheer. Dit betekent dat we in staat zijn om onze prijzen zo laag mogelijk te houden terwijl we onze klanten blijven voorzien van de beste service. Daardoor zijn we in staat tot 5x meer te kunnen aanbieden dan eerder het geval was en dat alles voor een zeeuws prijsje!

Apple verrast ons weer met een nieuw product, u zult niet geloven wat het is.

Afgelopen dinsdag kwam Apple met een onverwachte release van nieuwe producten, waaronder de nieuwe Mac mini en MacBook Pro. Vandaag kondigde het bedrijf nog een andere verrassing aan: de nieuwe HomePod.

Nieuwe Macs met M2 Pro en M2 Max chips

Er zijn vier nieuwe Macs uitgebracht met de nieuwe M2 Pro en M2 Max chips. Deze chips verhogen de core-aantallen, waardoor de prestaties verbeterd worden. Daarnaast zijn er verbeteringen in de GPU, waardoor de beeldverwerking 40% sneller is dan de vorige generatie. Ook is de batterijduur vergroot en is het nu mogelijk om 8K video uit te sturen via HDMI.

Google Home-hack laat hackers afluisteren van je privégesprekken – Dit moet je weten! Waarom wordt Twitter steeds gehackt en heeft China eindelijk de encryptie gebroken met kwantumcomputers?

Is Google Home aan het afluisteren, waarom wordt Twitter steeds gehackt? En heeft China eindelijk de encryptie gebroken met kwantumcomputers? Dat zijn enkele van de onderwerpen die we bespreken in

Wilt u deze bijdrage aanbevelen? Dat kan via:

Klaar voor de beste oplossing voor uw IT & ICT-situatie?

Ik heb mijn wachtwoord gewijzigd in “onjuist.” Dus wanneer ik vergeet wat het is, zal de computer zeggen: “Uw wachtwoord is onjuist.”