Σε μια ανησυχητική νέα τάση, κακόβουλοι φορείς – όπως η ομάδα hacking Midnight – στοχεύουν αμερικανικούς οργανισμούς με ψεύτικες απειλές ransomware για να εκβιάσουν χρήματα – παρά το γεγονός ότι δεν έχουν πραγματικά δεδομένα ή αρχεία προς διαρροή!
Τα τελευταία χρόνια, δόλιοι εκβιαστές εκμεταλλεύονται παραβιάσεις δεδομένων και περιστατικά ransomware για να αποσπάσουν χρήματα από ανυποψίαστες αμερικανικές επιχειρήσεις, απειλώντας να δημοσιεύσουν ή να πουλήσουν τις κλεμμένες πληροφορίες τους εάν δεν πληρώσουν.
Ενίοτε, οι δράστες προσθέτουν ένα επιπλέον επίπεδο πίεσης απειλώντας με επίθεση denial-of-service (DDoS), εάν δεν ακολουθηθούν τα αιτήματά τους.
Δείτε επίσης: Sun Pharmaceuticals: Επιβεβαίωσε την επίθεση ransomware
Απειλητικοί παράγοντες
Από τις 16 Μαρτίου, οι κακόβουλοι φορείς που είναι γνωστοί ως “Midnight” έχουν βάλει στο στόχαστρο οργανισμούς στις Ηνωμένες Πολιτείες.
Στα μηνύματά τους όχι μόνο μιμούνται τις συμμορίες ransomware και εκβιασμού δεδομένων, αλλά και αναλαμβάνουν ψευδώς το ρόλο εισβολέων, κλέβοντας πολύτιμες πληροφορίες εκατοντάδων gigabytes.
Σε ένα και μόνο μήνυμα ηλεκτρονικού ταχυδρομείου που στάλθηκε σε μέλος του προσωπικού μιας εταιρείας εκμετάλλευσης πρόσθετων πετρελαίου, ο επιτιθέμενος αυτοανακηρύχθηκε ως Silent Ransom Group (SRG) – μια αποσχισθείσα παράταξη της ομάδας Conti που στοχεύει στην κλοπή ευαίσθητων δεδομένων και στον εκβιασμό του θύματός τους που ονομάζεται Luna Moth.
Τον Δεκέμβριο του 2021, εμφανίστηκε ένας κακόβουλος δράστης με το ψευδώνυμο Surtr ransomware group και ανέπτυξε τη φήμη του για την κρυπτογράφηση εταιρικών δικτύων. Το ίδιο μήνυμα που χρησιμοποιήθηκε στη γραμμή θέματος συνδέθηκε με αυτή την απειλή.
Σε ένα email, η Midnight Group δήλωσε υπεύθυνη για την παραβίαση δεδομένων 600GB από servers και τα χαρακτήρισε “βασικά δεδομένα“.
Είχαν περάσει περισσότεροι από έξι μήνες από την αποχώρηση ενός ανώτερου οικονομικού σχεδιαστή από την εταιρεία-στόχο, αλλά τα μηνύματα εξακολουθούσαν να παραδίδονται στη διεύθυνσή του.
Απειλή DDoS σε εκκρεμότητα
Μια αναφορά στα τέλη Μαρτίου από το τμήμα διαχειριζόμενης ανίχνευσης και απόκρισης στην εταιρεία εταιρικής έρευνας και συμβούλων κινδύνου Kroll σημειώνει ότι ορισμένοι αποστολείς παρόμοιων email απείλησαν και με επιθέσεις DDoS.
Από τις 23 Μαρτίου και μετά, οι ερευνητές της Kroll παρατήρησαν μια αύξηση των αναφορών σχετικά με τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται από την ομάδα Silent Ransom.
Σύμφωνα με τους ανταποκριτές της Kroll, έχει παρατηρηθεί μια πρόσφατη έξαρση των απατηλών εκβιασμών και χρησιμοποιούν ονόματα γνωστών κυβερνοεγκληματιών σε μια προσπάθεια να προκαλέσουν φόβο, παρέχοντας παράλληλα αξιοπιστία. Αυτό το “νέο κύμα” έχει σχεδιαστεί ως μέσο εκφοβισμού.
Η Kroll έχει γίνει μάρτυρας τέτοιων περιστατικών από το 2021, ωστόσο τα πρώτα σημάδια αυτής της δραστηριότητας άρχισαν να εμφανίζονται στις αρχές Νοεμβρίου του 2019. Ακόμη και όσοι δεν είχαν πληρώσει επηρεάστηκαν από αυτές τις επιθέσεις DDoS.
Δείτε επίσης: Money Message: Το νέο ransomware που απαιτεί εκατομμύρια σε λύτρα
Παρόλα αυτά, οι επιθέσεις ήταν σχετικά απλές DDoS και συνοδεύονταν από προειδοποίηση ότι θα ακολουθούσαν πιο σοβαρές επιθέσεις, εκτός αν ικανοποιούνταν οι απαιτήσεις τους για λύτρα.
Η δραστηριότητα αυτών των περιστατικών μοιάζει με εκείνη μιας ομάδας εκβιαστών το 2017, η οποία έστειλε απειλές DDoS σε χιλιάδες εταιρείες υπό το πρόσχημα διαβόητων ομάδων hacking, όπως οι New World Hackers, Lizard Squad, LulzSec, Fancy Bear και Anonymous.
Στόχευση θυμάτων επιθέσεων ransomware
Μια έκθεση από την Arete, μια διακεκριμένη εταιρεία αντιμετώπισης περιστατικών, υποστηρίζει περαιτέρω τις ανακαλύψεις της Kroll σχετικά με τα παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου της Midnight Group που αντικατοπτρίζουν τις Surtr και SRG. Επιπλέον, σημείωσε μια εκθετική αύξηση των ψεύτικων μηνυμάτων που στάλθηκαν πριν από τις 24 Μαρτίου.
Αφού εξέτασαν την κατάσταση, οι υπεύθυνοι αντιμετώπισης περιστατικών διαπίστωσαν ότι η Midnight είχε βάλει στο στόχαστρο ιδρύματα που ήταν πρώην θύματα ransomware.
Οι αναλυτές της Arete διαπίστωσαν ότι οι αρχικοί δράστες είναι οι QuantumLocker (τώρα γνωστός ως DagonLocker), Black Basta και Luna Moth.
Σύμφωνα με την Arete, τουλάχιστον 15 από τους προηγούμενους και τρέχοντες πελάτες της έχουν βιώσει ψεύτικες απειλές από την Midnight Group – στη συνέχεια, ενίσχυσε αυτούς τους ισχυρισμούς για κλοπή δεδομένων με ασαφείς λεπτομέρειες.
Δείτε επίσης: DISH: Πολλαπλές αγωγές μετά από επίθεση ransomware
Είναι αινιγματικό πώς προσδιορίζονται τα θύματα- ωστόσο, φαίνεται πιθανό ότι οι επιλογές θα μπορούσαν να γίνουν από ιστότοπους διαρροής δεδομένων προσβάσιμους στο κοινό, ενημερωτικά άρθρα, αναρτήσεις σε κοινωνικά δίκτυα ή εταιρικές αποκαλύψεις.
Ωστόσο, η Arete παρατήρησε ότι ο ψεύτικος επιτιθέμενος κατάφερε να εντοπίσει ορισμένα θύματα ransomware ακόμη και όταν δεν υπήρχε δημόσια καταγραφή της επίθεσης – ένα πιθανό σημάδι ότι είχε συνεργαστεί με τους αρχικούς χάκερ.
Παρά τη λήψη πληρωμών, οι δράστες ransomware συχνά εξακολουθούν να διακινούν και να εμπορεύονται τα δεδομένα που έχουν κλαπεί από τα θύματά τους. Εμβαθύνοντας σε αυτές τις αγορές και τα φόρουμ όπου λαμβάνει χώρα αυτή η δραστηριότητα, η Midnight Group θα μπορούσε να εντοπίσει γρήγορα στόχους κυβερνοεπιθέσεων που δεν είχαν προηγουμένως αποκαλυφθεί.
Το σχέδιο εκβιασμού της Midnight
Το σχέδιο εκβιασμού της Midnight Group δεν είναι καθόλου καινούργιο. Το 2019, η εταιρεία αντιμετώπισης περιστατικών ransomware Coveware το εντόπισε και το ονόμασε Phantom Incident Extortion.
Σύμφωνα με την Coveware, ο απειλητικός παράγοντας προσπαθεί να προσθέσει νομιμότητα και επείγοντα περιστατικά χρησιμοποιώντας δεδομένα που είναι ειδικά προσαρμοσμένα για τον στόχο του. Στη συνέχεια, δίνουν έμφαση σε μια δαπανηρή έκβαση εάν η πληρωμή δεν ληφθεί γρήγορα, ενώ απαιτούν ένα ποσό πολύ μικρότερο από αυτό που θα χρειαζόταν σε περίπτωση δημόσιας έκθεσης.
Και τα τρία αυτά στοιχεία είναι οι βασικοί άξονες ενός εκβιασμού ενός phantom incident extortion (PIE) και μια σαφής ένδειξη μιας κενού απειλής.
Η Coveware κυκλοφόρησε πρόσφατα μια ενημερωμένη έκθεση που περιλαμβάνει τώρα ένα δείγμα email από την ομάδα Midnight, εκτός από τέσσερα παραδείγματα απάτης PIE.
Και οι τρεις εταιρείες εκτιμούν ότι οι απειλές του Midnight Group αποτελούν μέρος μιας εκστρατείας απάτης. Η προσπάθεια της Arete να αλληλεπιδράσει με τον απειλητικό παράγοντα δεν οδήγησε σε καμία απάντηση ή στοιχεία κλεμμένων δεδομένων από τον χάκερ.
Για να προστατευτείτε από μια ενδεχόμενη κακόβουλη επίθεση, συνιστάται να αξιολογείτε προσεκτικά τέτοια μηνύματα ηλεκτρονικού ταχυδρομείου για να εντοπίσετε τα στοιχεία ενός ψεύτικου εκβιαστικού μηνύματος και να τα απορρίψετε ως μια ανούσια απειλή.
Πηγή πληροφοριών: bleepingcomputer.com
