Un reporter BBC a fost abordat direct de un membru al grupării de ransomware Medusa cu o ofertă greu de ignorat: un procent dintr-o eventuală răscumpărare, în schimbul accesului la laptopul său de serviciu. Mesajul-momeală, trimis pe Signal, promitea bani suficienți „cât să nu mai muncești niciodată” și sugera că atacatorii ar putea cere „zeci de milioane” dacă ar pătrunde în rețeaua instituției. Jurnalistul a decis să testeze cât de departe merg astfel de tentative de recrutare a „insiderilor” – iar ce a urmat e un studiu de caz despre cum operează extorcarea digitală modernă.
Cum a început și ce au promis hackerii
Contactul a venit de la un cont care se recomanda „Syndicate”, autointitulat responsabil cu „reach-out” pentru Medusa. Prima ofertă a fost 15% din orice răscumpărare, apoi 25% din „negocierea finală”, cu sugestia că BBC ar plăti o sumă proporțională cu veniturile sale. Totul era formulat ca un parteneriat „fără riscuri”: atacatorii garantau ștergerea urmelor, anonimatul și un avans de 0,5 bitcoin drept „garanție” că înțelegerea va fi onorată.
Hackerul cerea date de autentificare și coduri de securitate, plus rularea unor comenzi pe laptopul de serviciu pentru a înțelege topologia internă. În paralel, încerca să grăbească decizia: „Când poți face asta? Nu sunt o persoană răbdătoare”. Presiunea era calculată – între promisiunea îmbogățirii rapide și amenințarea cu pierderea „ocaziei”.
Captură de ecran din discuția cu criminalul pe Signal. SOC înseamnă centru de operațiuni de securitate, echipa care supraveghează alertele și incidentele cibernetice. (Sursă: Joe Tidy/BBC)
Cum funcționează recrutarea de „insideri”
Modelul Medusa este clasic pentru ransomware-as-a-service: administratori care oferă infrastructura și afiliati care execută intruziuni. În acest model, „insiderii” – angajați dispuși să ajute – sunt o vulnerabilitate valoroasă: scurtează timpul de infiltrare, ocolesc sistemele de detecție și dau acces la credențiale, sesiuni 2FA sau rețele interne.
Tactica de persuasiune combină elemente de inginerie socială: validare („am mai făcut-o cu alte companii”), urgență („până luni la miezul nopții”), status și recompensă („nu vei mai munci niciodată”). În plus, hackerii mută conversația pe canale preferate de criminalitate informatică (Tox, forumuri dark) și cer „probe” tehnice – rularea de comenzi, capturi de ecran, testarea accesului – totul pentru a împinge ținta din zona discuției în cea a complicității.
Infractorii au promis că vor plăti un avans ca răsplată, dacă jurnalistul acceptă oferta. (Sursă: Joe Tidy/BBC)
Ce a urmat când presiunea a crescut
După câteva zile de dialog controlat, reporterul a stopat colaborarea și a cerut consiliere de la echipa internă de securitate. Răspunsul adversarului a fost previzibil: a început bombardamentul de notificări 2FA (push fatigue), acele pop-up-uri care solicită „aprobarea” unei autentificări. Scopul: ca ținta, obosită sau neatentă, să apese „Approve” din reflex și să valideze o intrare frauduloasă.
Acest episod arată că presiunea psihologică e la fel de importantă ca partea tehnică. Când nu obțin imediat credențiale, atacatorii forțează „ușa” prin atacuri de oboseală, sperând într-o greșeală. Este motivul pentru care multe organizații trec la 2FA rezistent la phishing (chei fizice, passkeys) și dezactivează prompturile „one-tap” acolo unde e posibil.
Captură de ecran a telefonului jurnalistului, cu zeci de notificări ale încercărilor hackerilor de a compromite sistemele BBC. (Sursă: Joe Tidy/BBC)
De ce contează cazul și ce pot învăța companiile
Încercarea de „cooptare” a unui jurnalist arată cât de jos a coborât bariera pentru a iniția un atac major: câteva mesaje bine țintite pot ocoli luni de muncă de recon și exploatare. Orice instituție cu date sensibile – redacție, spital, universitate, bancă – este un potențial trofeu. Iar dacă un atac reușește, consecințele sunt imediate: întreruperea operațiunilor, scurgeri de date, șantaj, pierderi financiare și reputaționale.
Răspunsul sănătos combină politici clare anti-mită, canale sigure de raportare internă, programe recurente de conștientizare asupra ingineriei sociale și, tehnic, măsuri precum: passkeys/chei FIDO pentru autentificare, restricții pe rularea de scripturi, acces cu privilegii minime, segmentarea rețelei și monitorizare proactivă a autentificărilor. La nivel individual, regula de aur rămâne: nu aprobi niciun push 2FA pe care nu l-ai inițiat tu, chiar dacă pare să vină „de la serviciu”.
Concluzie: tentația banilor ușori vs. disciplina de securitate
„Nu vei mai munci niciodată” e un mesaj-șablon într-o industrie a șantajului care vinde fantezia îmbogățirii fără consecințe. În practică, astfel de „oportunități” înseamnă complicitate penală, cariere distruse și prejudicii reale. Cazul Medusa vs. BBC arată că cele mai puternice atacuri nu trec neapărat prin zero-day-uri, ci prin zero-principii. Iar antidotul, în 2025, e la fel de mult despre etică și procese, pe cât este despre tehnologii de securitate.