Оператори-вимагачі з угруповання Medusa спробували купити інсайдерський доступ до корпоративної мережі BBC, звернувшись до журналіста з кібербезпеки через зашифрований месенджер. Зловмисники пропонували фінансову винагороду та вимагали запуску скрипта на його ноутбуці, після чого розгорнули MFA-бомбінг — масові push-запити для примусового підтвердження входу.
Схема вербування: гроші за “двері всередину” та техніка тиску на MFA
За повідомленням журналіста, контакт ініціював учасник під ніком Syndicate. Спершу він запропонував 15% від можливого викупу, пізніше підняв ставку ще на 10%, стверджуючи, що вимога до BBC може сягнути десятків мільйонів доларів. Для підтвердження “серйозних намірів” пропонувалось внести 0,5 BTC на ескроу-рахунок на хакерському форумі до старту операції.
Ключова умова зловмисників — запуск скрипта на робочому пристрої, що забезпечив би їм початковий плацдарм у мережі. Коли переписка затягнулась, на акаунт журналіста посипались push-запити багатоетапної автентифікації — типовий MFA-бомбінг, коли атакувальники, маючи (ймовірно) скомпрометовані облікові дані, намагаються “вибити” підтвердження входу частими сповіщеннями.
Журналіст не підтвердив запити та негайно сповістив службу кібербезпеки BBC. Доступ було превентивно відключено. Представник Medusa згодом вибачився за сплеск MFA-повідомлень і через кілька днів видалив обліковий запис у Signal.
Профіль Medusa: посткомпрометація, IAB та подвійне вимагання
Група Medusa активна щонайменше з січня 2021 року. За оцінками CISA, вона причетна до сотень атак на об’єкти критичної інфраструктури США. Модель дій робить акцент на post-compromise: розгортання рансомвару, ексфільтрація даних і тиск через подвійне вимагання (шантаж витоком).
Для початкового доступу Medusa активно використовує Initial Access Brokers (IAB) та прагне залучати інсайдерів. Внутрішні облікові записи знижують шум у телеметрії, спрощують горизонтальне переміщення та прискорюють ескалацію привілеїв — саме тому вербування співробітників стає привабливим інструментом.
Чому інсайдери та MFA-бомбінг залишаються ефективними
Фінансовий стимул у поєднанні із соціальною інженерією часто обходить технічні бар’єри. Техніка MFA-fatigue уже проявлялася в реальних інцидентах: наприклад, у компрометаціях Uber (2022) та Cisco (2022) атакувальники досягали доступу через нав’язливі push-запити. Коли користувач перевантажений сповіщеннями, імовірність випадкового підтвердження зростає.
Практичний захист: як знизити ризики інсайдерів і MFA-спаму
Посилення автентифікації та протидія MFA-бомбінгу
– Увімкніть number matching/код-підтвердження, показ геолокації/додатка/IP, обмеження частоти запитів і автоматичні блокування після серії відмов. Це значно знижує успішність спаму.
– Міґруйте на фішинг-стійкі фактори (FIDO2/WebAuthn, апаратні ключі), мінімізуючи залежність від push та одноразових кодів. Рекомендації узгоджуються з NIST SP 800-63B та практиками CISA.
Зменшення інсайдерських загроз
– Впроваджуйте принцип найменших привілеїв, just-in-time доступ і сегментацію мережі для локалізації інцидентів.
– Використовуйте EDR/XDR з поведінковою аналітикою: виявлення незвичних входів, аномальної активності та сплесків MFA-запитів.
– Запускайте програми обізнаності, довірені канали для повідомлень про вербування, а також вправи “червоної команди”, що моделюють соціальну інженерію.
Готовність до інцидентів
– Оновлюйте плейбуки реагування з урахуванням сценаріїв інсайдерських атак і MFA-fatigue; проводьте tabletop-навчання для ключових команд.
– Перегляньте умови з підрядниками (ескроу, юридичні зобов’язання), щоб мінімізувати зовнішні вектори інсайдерського ризику.
Спроба вербування в BBC демонструє комерціалізацію доступу та готовність вимагачів платити за надійні “точки входу”. Організаціям варто прискорити впровадження фішинг-стійкої автентифікації, посилити моніторинг аномалій і культивувати практику “пильного відхилення”: кожне підозріле повідомлення чи вигідна “пропозиція” має негайно ескалюватися до служби безпеки.
