Поделиться
Хакеры научились зарабатывать деньги на взломах, которых не было
Мошенническая группировка рассылает вымогательские письма от имени шифровальных банд с требованием выкупа за данные, украденные (или не украденные) другими.
DDoS как аргумент
Группировка мошенников под названием Midnight Group атакует американские компании с требованиями выкупа, угрожая опубликовать данные, которые они якобы украли.
Нередко объектами этих требований становятся фирмы, которые действительно ранее подверглись кибератакам, но Midnight к ним не имела никакого отношения. Время от времени свои угрозы Midnight подкрепляли DDoS-атаками, особенно если жертва демонстрировала несговорчивость.
Атаки со стороны группировки начались в районе 16 марта 2023 г. В нескольких случаях мошенники пытались выдавать себя за представителей других, широко известных кибервымогательских группировок, заявляли, что именно они произвели взлом и вывод важных данных. В частности, в одном письме они назвались Silent Ransom Group (под этим названием действуют бывшие участники синдиката Conti), в другом — Surtr Group, еще одной шифровальной группировкой, активной с конца 2021 г.
Правда, название Surtr было только в теме письма, а в теле использовалось название Silent Ransom. Видимо, забыли поменять.
В сообщениях потенциальным жертвам члены Midnight заявляли, что выкрали порядка 600 гигабайт «данных ключевой важности» и требовали выплатить выкуп до определенной даты, угрожая в противном случае выложить ее в общий доступ.
Пустые угрозы
Эксперты консалтинговой ИБ-компании Kroll отметили, что с 23 марта 2023 г. резко увеличился поток жалоб на подобные попытки вымогательства. В основном речь шла об угрозах от имени Silent Ransom.
В Kroll отметили, что все эти угрозы — мнимые, и Midnight просто использует самый дешевый метод социальной инженерии. В то же время эксперты считают, что эта методика будет набирать популярность, поскольку при минимальных затратах она бывает весьма эффективна.
Подобные атаки наблюдались с конца 2019 г.: мошенники требовали выкуп за данные, украденные кем-то еще, а если жертвы отказывались платить, то начинались DDoS-атаки — обычно маломощные, но сопровождавшиеся угрозами более интенсивных.
Ранее, в 2017 г., еще одна вымогательская группировка интенсивно рассылала угрозы DDoS-атак различным коммерческим организациям от лица наиболее знаменитых в то время хакерских групп: New World Hackers, Lizard Squad, LulzSec, Fancy Bear и Anonymous.
Что отличает нынешнюю кампанию, так это то, что операторы Midnight атакуют компании, которые действительно в прошлом становились жертвами взломов и утечек данных.
Эксперты компании Arete, также отслеживающие эти киберинциденты, отметили, что Midnight нацеливается на фирмы, ставшие жертвами таких шифровальных группировок как QuantumLocker/DagonLocker, BlackBasta и LunaMoth. Эти группировки практикуют двойное вымогательство — за расшифровку данных и за сохранение их конфиденциальности.
В Arete подозревают, что у участников Midnight есть доступ к непубличным данным о том, какие компании подверглись успешным кибератакам. Эти данные не всегда актуальны: минимум один раз вымогательское письмо получил бывший высокопоставленный сотрудник финансового отдела компании, пострадавшей от кибератаки, который не работал там же более полугода.
Тем не менее, есть основания полагать, что Midnight сотрудничают с другими группировками; возможно, просто покупают конфиденциальные сведения о том, какие компании были атакованы в недавнем прошлом.
«Фантомное вымогательство в плане соотношения затрат к результативности может быть очень выгодным, — указывает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Никаких особенных технических знаний не нужно, единственное, на что придется потратиться, это на покупку данных о взломе и поиск наиболее перспективных контактных лиц. В целом это не более чем спам с целью взять на испуг. В компаниях, где внутренние коммуникации отлажены, пустые угрозы распознать не составит большой проблемы. И в любом случае, платить вымогателям не стоит в принципе».
Короткая ссылка
