04.04.2023 | Новая группировка Midnight забирает себе жертв других киберпреступников |
Хакеры угрожают американским компаниям поддельной утечкой данных в случае неуплаты выкупа. В некоторых случаях хакеры обещают провести DDoS -атаку, если жертва не выполняет требования злоумышленников. Киберпреступники, стоящие за этой кампанией, называют себя Midnight и атакуют компании в США как минимум с 16 марта. В электронных письмах, отправляемых жертвам, хакеры выдают себя за другие группировки. Так, в одном из писем сотруднику производителя присадок к нефтепродуктам злоумышленник представился Silent Ransom Group (Luna Moth) — отделившаяся от синдиката Conti группа , занимающаяся кражей данных и вымогательством. Однако теме этого письма использовалось название группы вымогателей Surtr, впервые замеченной в декабре 2021 года.
Midnight выдает себя за программу-вымогатель Surtr и группу Silent Ransom В другом письме от Midnight Group хакеры утверждали, что украли и опубликовали 600 ГБ «важных данных» с серверов неназванной компании. Сообщения были отправлены на адрес старшего специалиста по финансовому планированию, покинувшего целевую компанию более полугода назад. Специалисты фирмы Kroll также отметили, что в некоторых электронных письмах содержались угрозы DDoS-атак. Тем не менее, обещанные DDoS-атаки были низкоуровневыми и сопровождались угрозой более крупных атак в случае неуплаты выкупа. Кроме того, эксперты ИБ-компании Arete заметили, что Midnight нацелена на организации, которые ранее были жертвами программ-вымогателей. По данным Arete, минимум 15 нынешних и предыдущих клиентов компании Arete получили ложные угрозы от Midnight Group, которые подкреплялись заявлениями о краже данных с расплывчатыми подробностями. Неясно, как выбираются жертвы, но один из возможных вариантов — из общедоступных источников, таких как сайт утечек других группировок, социальные сети, новостные материалы или отчёты ИБ-компаний. Arete отмечает, что хакеры Midnight идентифицировали некоторые компании, даже когда утечка данных жертв не была общедоступной, что указывает на возможное сотрудничество с другими группировками. Операторы программ-вымогателей часто продают украденные данные даже когда жертвы платят выкуп. Если у Midnight Group есть доступ к рынкам и форумам, где эти данные продаются, хакеры могут узнать о жертвах программ-вымогателей, которые еще не заявили публично о кибератаке. Исследователи кибербезопасности утверждают, что угрозы Midnight Group являются частью мошеннической кампании. Такой метод вымогательства называется Phantom Incident Extortion (PIE). После попытки Arete связаться с хакерами ответа от злоумышленников так и не поступило, как и доказательства украденных данных. Рекомендуется тщательно анализировать подобные электронные письма, чтобы распознать признаком поддельного сообщения о вымогательстве и отклонить его как пустую угрозу. |
Проверить безопасность сайта