Хакеры научились зарабатывать деньги на взломах, которых не было
DDoS как аргумент
Группировка мошенников под названием Midnight Group атакует американские компании с требованиями выкупа, угрожая опубликовать данные, которые они якобы украли.
Нередко объектами этих требований становятся фирмы, которые действительно ранее подверглись кибератакам, но Midnight к ним не имела никакого отношения. Время от времени свои угрозы Midnight подкрепляли DDoS-атаками, особенно если жертва демонстрировала несговорчивость.
Атаки со стороны группировки начались в районе 16 марта 2023 г. В нескольких случаях мошенники пытались выдавать себя за представителей других, широко известных кибервымогательских группировок, заявляли, что именно они произвели взлом и вывод важных данных. В частности, в одном письме они назвались Silent Ransom Group (под этим названием действуют бывшие участники синдиката Conti), в другом — Surtr Group, еще одной шифровальной группировкой, активной с конца 2021 г.
Правда, название Surtr было только в теме письма, а в теле использовалось название Silent Ransom. Видимо, забыли поменять.
Фото: © suwannar1981.gmail.com / Фотобанк Фотодженика Ушлые хакеры шантажируют «повторным» взломом компании, которые раньше уже теряли данные
В сообщениях потенциальным жертвам члены Midnight заявляли, что выкрали порядка 600 гигабайт «данных ключевой важности» и требовали выплатить выкуп до определенной даты, угрожая в противном случае выложить ее в общий доступ.
Пустые угрозы
Эксперты консалтинговой ИБ-компании Kroll отметили, что с 23 марта 2023 г. резко увеличился поток жалоб на подобные попытки вымогательства. В основном речь шла об угрозах от имени Silent Ransom.
В Kroll отметили, что все эти угрозы — мнимые, и Midnight просто использует самый дешевый метод социальной инженерии. В то же время эксперты считают, что эта методика будет набирать популярность, поскольку при минимальных затратах она бывает весьма эффективна.
Подобные атаки наблюдались с конца 2019 г.: мошенники требовали выкуп за данные, украденные кем-то еще, а если жертвы отказывались платить, то начинались DDoS-атаки — обычно маломощные, но сопровождавшиеся угрозами более интенсивных.
Космос и ТЭК: как сочетаются мировые и российские тенденции телеком
Ранее, в 2017 г., еще одна вымогательская группировка интенсивно рассылала угрозы DDoS-атак различным коммерческим организациям от лица наиболее знаменитых в то время хакерских групп: New World Hackers, Lizard Squad, LulzSec, Fancy Bear и Anonymous.
Что отличает нынешнюю кампанию, так это то, что операторы Midnight атакуют компании, которые действительно в прошлом становились жертвами взломов и утечек данных.
Эксперты компании Arete, также отслеживающие эти киберинциденты, отметили, что Midnight нацеливается на фирмы, ставшие жертвами таких шифровальных группировок как QuantumLocker/DagonLocker, BlackBasta и LunaMoth. Эти группировки практикуют двойное вымогательство — за расшифровку данных и за сохранение их конфиденциальности.
В Arete подозревают, что у участников Midnight есть доступ к непубличным данным о том, какие компании подверглись успешным кибератакам. Эти данные не всегда актуальны: минимум один раз вымогательское письмо получил бывший высокопоставленный сотрудник финансового отдела компании, пострадавшей от кибератаки, который не работал там же более полугода.
Как выбирать провайдера DRaaS в 2023, какие факторы надо учитывать Маркет
Тем не менее, есть основания полагать, что Midnight сотрудничают с другими группировками; возможно, просто покупают конфиденциальные сведения о том, какие компании были атакованы в недавнем прошлом.
«Фантомное вымогательство в плане соотношения затрат к результативности может быть очень выгодным, — указывает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Никаких особенных технических знаний не нужно, единственное, на что придется потратиться, это на покупку данных о взломе и поиск наиболее перспективных контактных лиц. В целом это не более чем спам с целью взять на испуг. В компаниях, где внутренние коммуникации отлажены, пустые угрозы распознать не составит большой проблемы. И в любом случае, платить вымогателям не стоит в принципе».