Firma została zhakowana po przypadkowym zatrudnieniu północnokoreańskiego cyberprzestępcy jako zdalnego pracownika IT.
Niezidentyfikowana firma zatrudniła technika po tym, jak sfałszował swoją historię zatrudnienia i dane osobowe.
Po uzyskaniu dostępu do sieci komputerowej firmy haker pobrał poufne dane firmy i wysłał żądanie okupu.
Firma z siedzibą w Wielkiej Brytanii, USA i Australii nie chciała ujawniać swojej nazwy.
Dzięki temu cyberprzestępcy z Secureworks mogli zgłosić włamanie, aby szerzyć świadomość i ostrzegać innych.
Jest to najnowszy z serii przypadków zdemaskowania zachodnich pracowników zdalnych jako Koreańczyków z Północy.
Firma Secureworks podała, że pracownik IT, uważany za mężczyznę, został zatrudniony latem jako wykonawca.
Do zalogowania się do sieci korporacyjnej wykorzystał firmowe narzędzia do pracy zdalnej.
Następnie potajemnie pobrał jak najwięcej danych firmy, gdy tylko uzyskał dostęp do systemów wewnętrznych.
Pracował w firmie przez cztery miesiące, zbierając wynagrodzenie.
Badacze twierdzą, że narkotyki zostały prawdopodobnie przekierowane do Korei Północnej w skomplikowanym procesie prania, mającym na celu uniknięcie zachodnich sankcji nałożonych na ten kraj.
Po tym, jak firma zwolniła go za słabe wyniki, otrzymała e-maile z okupem zawierające część skradzionych danych i żądanie zapłaty sześciocyfrowej sumy w kryptowalucie.
Jeśli firma nie zapłaci, haker zapowiedział, że opublikuje lub sprzeda skradzione informacje w Internecie.
Firma nie ujawniła, czy okup został zapłacony.
Od 2022 r. władze i obrońcy cybernetyczni ostrzegają przed wzrostem liczby tajnych północnokoreańskich pracowników infiltrujących zachodnie firmy.
Stany Zjednoczone i Korea Południowa oskarżają Koreę Północną o zlecanie tysiącom pracowników zdalnego pełnienia wielu dobrze płatnych stanowisk na Zachodzie w celu zarabiania pieniędzy dla reżimu i uniknięcia sankcji.
We wrześniu firma Mandiant zajmująca się bezpieczeństwem cybernetycznym poinformowała, że dziesiątki firm z listy Fortune 100 przypadkowo zatrudniły Koreańczyków z Północy.
Jednak według Rafe Pilling, dyrektora ds. analizy zagrożeń w Secureworks, tajni pracownicy IT zwracający się przeciwko swoim pracodawcom za pomocą cyberataków są rzadkością.
„To poważna eskalacja ryzyka związanego z oszukańczymi północnokoreańskimi programami dla pracowników IT” – stwierdził.
„Już nie chodzi im tylko o stałą pensję, lecz o więcej, szybciej, poprzez kradzież danych i wymuszenia, z wewnętrznej obrony firmy”.
Sprawa ma miejsce po tym, jak w lipcu inny północnokoreański pracownik IT został przyłapany na próbie włamania się do swojego pracodawcy.
Pracownik IT został zatrudniony przez cyber firmę KnowBe4, która szybko zablokowała dostęp do jej systemów, gdy zauważyła dziwne zachowanie.
„Opublikowaliśmy ofertę pracy, otrzymaliśmy CV, przeprowadziliśmy rozmowy kwalifikacyjne, sprawdziliśmy przeszłość, sprawdziliśmy referencje i zatrudniliśmy tę osobę” – napisała firma w poście na blogu.
„Wysłaliśmy im stację roboczą Mac i w chwili jej otrzymania natychmiast zaczęła ładować złośliwe oprogramowanie (złośliwe oprogramowanie)”.
Władze ostrzegają pracodawców, aby zachowali czujność w przypadku nowych pracowników, jeśli są oni całkowicie odlegli.
