Новая группировка Midnight паразитирует на дурной славе других вымогателей
04/04/23
Хакеры угрожают американским компаниям утечкой данных в случае неуплаты выкупа. В некоторых случаях хакеры обещают провести DDoS-атаку, если жертва не выполняет требования злоумышленников.
Киберпреступники, стоящие за этой кампанией, называют себя Midnight и "атакуют" компании в США как минимум с 16 марта, передает Securitylab. В электронных письмах, отправляемых жертвам, хакеры выдают себя за другие группировки.
Так, в одном из писем сотруднику производителя присадок к нефтепродуктам злоумышленник представился Silent Ransom Group (Luna Moth) — отделившаяся от синдиката Conti группа, занимающаяся кражей данных и вымогательством. Однако теме этого письма использовалось название группы вымогателей Surtr, впервые замеченной в декабре 2021 года.
В другом письме от Midnight Group хакеры утверждали, что украли и опубликовали 600 ГБ «важных данных» с серверов неназванной компании. Сообщения были отправлены на адрес старшего специалиста по финансовому планированию, покинувшего целевую компанию более полугода назад.
Специалисты фирмы Kroll также отметили, что в некоторых электронных письмах содержались угрозы DDoS-атак. Тем не менее, обещанные DDoS-атаки были низкоуровневыми и сопровождались угрозой более крупных атак в случае неуплаты выкупа.
Кроме того, эксперты ИБ-компании Arete заметили, что Midnight нацелена на организации, которые ранее были жертвами программ-вымогателей. По данным Arete, минимум 15 нынешних и предыдущих клиентов компании Arete получили ложные угрозы от Midnight Group, которые подкреплялись заявлениями о краже данных с расплывчатыми подробностями.
Неясно, как выбираются жертвы, но один из возможных вариантов — из общедоступных источников, таких как сайт утечек других группировок, социальные сети, новостные материалы или отчёты ИБ-компаний.
Arete отмечает, что хакеры Midnight идентифицировали некоторые компании, даже когда утечка данных жертв не была общедоступной, что указывает на возможное сотрудничество с другими группировками.
Операторы программ-вымогателей часто продают украденные данные даже когда жертвы платят выкуп. Если у Midnight Group есть доступ к рынкам и форумам, где эти данные продаются, хакеры могут узнать о жертвах программ-вымогателей, которые еще не заявили публично о кибератаке.
Исследователи кибербезопасности утверждают, что угрозы Midnight Group являются частью мошеннической кампании. Такой метод вымогательства называется Phantom Incident Extortion (PIE).
После попытки Arete связаться с хакерами ответа от злоумышленников так и не поступило, как и доказательства украденных данных. Рекомендуется тщательно анализировать подобные электронные письма, чтобы распознать признаком поддельного сообщения о вымогательстве и отклонить его как пустую угрозу.