Операторы вымогателя Medusa предложили крупную денежную сумму сотруднику BBC и хотели использовать его как инсайдера для кибератаки на медиакомпанию.
Специализирующийся на кибербезопасности сотрудник BBC Джо Тайди (Joe Tidy) рассказал, что хакеры хотели использовать его ноутбук для проникновения в сеть Британской вещательной корпорации, а затем потребовать у организации выкуп.
Получив доступ к внутренним системам BBC, злоумышленники планировали похитить данные, а затем потребовать выкуп. Как минимум 15% от выплаченной суммы должны были достаться Тайди за предоставление первоначального доступа к сети BBC.
Тайди пишет, что в июле 2025 года через Signal с ним связался киберпреступник под ником Syndicate. Сначала он предлагал журналисту 15% от выкупа, но потом добавил еще 10%, заявляя, группировка потребует у корпорации «выкуп в десятки миллионов, если успешно проникнет в сеть». Якобы после этого Тайди мог вообще никогда не работать, живя на свою долю от полученных средств.
Вымогательская группировка Medusa появилась в январе 2021 года. Специалисты Агентства по кибербезопасности и защите инфраструктуры США (CISA) приписывают хак-группе более 300 атак на организации критической инфраструктуры в США. По их данным, основные операторы Medusa рекрутируют брокеров первоначального доступа на киберпреступных форумах и даркнет-маркетплейсах, фокусируясь на фазе после компрометации.
В своей статье Тайди сообщает, что представитель хак-группы обещал ему анонимность в случае успешного сотрудничества и ссылался на несколько крупных атак в прошлом, в которых, по его словам, тоже участвовали инсайдеры.
Также Syndicate попытался убедить Тайди, предложив ему 0,5 BTC (около 55 000 долларов США по текущему курсу) на эскроу-счете на хакерском форуме еще до начала атаки.
«Мы не блефуем и не шутим. Мы не хотим медийности, нам нужны только и исключительно деньги. Один из наших главных менеджеров хотел, чтобы я связался с вами», — писал хакер.
Тайди, который занимается освещением ИБ-новостей, предполагает, что злоумышленники приняли его за сотрудника отдела кибербезопасности BBC с высоким уровнем доступа. Во время разговора Syndicate настаивал, чтобы журналист выполнил некий скрипт, а когда Тайди стал тянуть время, его телефон завалил запросы многофакторной аутентификации (МФА).
Такую тактику обычно называют МФА-бомбингом или МФА-спамом. Хакеры автоматизируют попытки входа с использованием учетных данных жертвы, тем самым провоцируя шквал МФА-запросов и вынуждая пользователя сдаться и разрешить вход.
Однако Тайди не поддался на эту уловку. Он связался с ИБ-специалистами BBC и в качестве меры предосторожности его полностью отключили от инфраструктуры организации.
В более позднем сообщении предполагаемый представитель Medusa извинился за запросы МФА и заявил, что предложение поучаствовать в атаке остается в силе еще несколько дней. Когда журналист не ответил, злоумышленник удалил свой аккаунт в Signal.
