Эксперты ИБ-компании Cyble обнаружили новую политически мотивированную группировку BlackMagic, которая предположительно связана с Ираном и нацелена на компании в Израиле.
По словам аналитиков Cyble, группа вымогателей использует метод двойного вымогательства – сначала извлекает файлы жертвы, а затем шифрует их. У BlackMagic на счету более 10 компаний-жертв, все они из Израиля, но иранского происхождения.
Примечательно, что записка с требованием выкупа не содержит информации о самом выкупе, пишут в Securitylab. Вместо этого хакеры указывают свои соцсети, используемые для раскрытия данных жертвы. Это означает, что группа вымогателей заинтересована в продаже похищенных данных, а не в получении выкупа от своих жертв.
BlackMagic заявляет, что украла 50 ГБ данных у транспортных компаний в Израиле, а также конфиденциальные данные более 65% граждан страны. По словам исследователей, хакеры продают украденные данные на нескольких киберпреступных форумах. Также злоумышленники «дефейсят» сайт жертвы.
«Уничтожаем логистические компании и предотвращаем отправку посылок», — говорится в заявлении BlackMagic в даркнете.
Также в процессе шифрования данных злоумышленники помещают записку с требованием выкупа во все папки целевой системы, а затем добавляют к файлам расширение «.BlackMagic».
После этого хакеры создают BAT-файл на диске С, который удаляет все следы после шифрования данных. BAT-файл также заменяет фон рабочего стола скомпрометированного устройства на картинку, которая, вероятно, является логотипом BlackMagic. На картинке размещены логотипы предыдущих жертв группировки.
Основываясь на деятельности BlackMagic, эксперты подозревают, что хакеры политически мотивированы, но неясно, как они будут развиваться в будущем.