هاكر نيجيري اتأثر بأفكار مجموعات الفدية زي BlackMatter و LockBit 2.0 لتجنيد موظفين الشركات للوصول من خلالهم لأجهزة الشركة وبالفعل تم التواصل بينه وبين موظف في شركة معينة وطلب منه تحميل برامج الفدية مقابل 40% من مبلغ الفدية اللي هتدفعه الشركة
الموظف أخبر مديره اللي استعان بشركة الأمن Abnormal Security لمشاركتهم في مخطط التهديد وتم التنسيق معها للتواصل مع ممثل التهديد على انهم موظف الشركة لمعرفة هويتهم واكتشاف تقنيات برامج الفدية الخاصة بهم
وبعد الرد عليهم تأكد من موافقة الموظف على طلبه مقابل مليون دولار من مبلغ الفدية اللي هيتطلب من الشركة وهو 2,5 مليون وبعد تأكيد الاتفاق قام بإرسال رابطين لموقع Mega أو WeTransfer لتحميل باسم Walletconnect .exe وطلب حذفه بعد فتحه حتى من سلة المحذوفات وبعد تنفيذ الخطوات من قبل الباحثين تم تشفير الجهاز الذي يتم التجربة عليه باستخدام DemonWare
وفي رسالة البريد الإلكتروني الأولى طلب من الشركة دفع مبلغ 2.5 مليون دولار فدية وتم التهديد بتشفير كل شيء على الأنظمة ثم بعد التحدث معه لفترة طلب 250 الف دولار فقط بحجة انه خفض المبلغ وبعدها طلب 120 ألف
كل ده وميعرفش انه ضحية تشفير وهمي
بس كان نفسه يصدق انه نجح ويطلع منهم بأي مبلغ
تحديد هويته
باستخدام تفاصيل الاتصال بالبريد الإلكتروني وتليجرام اللي قدمها في رسالته تمكن الباحثون من تتبعه إلى موقع تداول على الإنترنت لعملة نيجيريا ' نَيْرَة ' ومنصة اجتماعية روسية مرتبط بها ارقام من دولة نيجيريا وهو بنفسه أكد للباحثين تواجده في نيجيريا ومحاولته بناء منصة للتواصل الاجتماعي في افريقيا وبعتلهم رابط لملفه الشخصي على LinkedIn يحتوي على اسمه كاملا
برنامج الفدية المستخدم
لما سألوه عن برنامج الفدية اللي بيستخدمه قال انه من تطويره الخاص لكن بعد تحليل طريقة عمله تبين انه DemonWare المجاني المتوفر على github
شركة الأمن abnormal security