Sahte gaspçılar, veri ihlalleri ve fidye yazılımı olayları üzerinde piggybacking yapıyor ve ABD şirketlerini ödeme almadıkça çalındığı iddia edilen veri yayınlamak veya satmakla tehdit ediyorlar.
Bazen aktörler, mesaj alıcısı mesajdaki talimatlara uymuyorsa, dağıtılmış bir hizmet reddi (DDOS) saldırısının tehdidini ekler.
Bu etkinliğin arkasındaki saldırganlar gece yarısı adını kullanıyor ve en az 16 Mart'tan beri ABD'deki şirketleri hedeflemeye başladı.
Ayrıca e -postalarda bazı fidye yazılımları ve veri gasp çeteleri taklit ettiler ve izinsiz girişin yazarları olduğunu iddia ettiler ve yüzlerce gigabayt önemli veri çaldılar.
Petrol katkı maddeleri endüstrisindeki bir holding şirketinin çalışanına bir e -postada, tehdit oyuncusu sessiz fidye grubu (SRG) olduğunu iddia etti - Conti sendikasının bir parçalanması, verileri çalmaya ve Luna olarak da bilinen kurbanı zorlamaya odaklandı. Güve.
Bununla birlikte, aynı mesaj, konu satırında kullanılan başka bir tehdit oyuncusu olan Surtr fidye yazılımı grubunun adı, ilk olarak Aralık 2021'de şirket ağlarını şifrelediği görülmüştür.
BleepingComputer, gece yarısı grubundan başka bir e -posta buldu ve veri ihlalinin yazarları olduklarını ve sunuculardan 600GB “temel veri” çaldıklarını iddia etti.
Mesajlar, hedef şirketi yarım yıldan fazla bir süre önce bırakan kıdemli bir finansal planlamacının adresine gönderildi.
Mart ayı sonlarında Kroll Corporate Araştırma ve Risk Danışmanlığı Firması'ndaki Yönetilen Tespit ve Müdahale Bölümü'nden bir rapor, benzer e -postalardan bazı gönderenlerin DDOS saldırılarıyla tehdit ettiğini belirtiyor.
Kroll müfettişleri, 23 Mart'tan itibaren kuruluşların sessiz fidye grubu adı altında alınan e -postalar için artan sayıda rapor sunmaya başladığını söylüyor.
Kroll yanıt verenler raporda, “yeni bir sahte gasplama dalgası dalgası” diyor, yazarların tehdidi korkutmak ve meşruiyet vermek için daha iyi bilinen siber suçlu isimlerini kullandıklarını da sözlerine ekledi.
“Bu yöntem ucuz ve düşük vasıflı saldırganlar tarafından kolayca yürütülüyor. 419 Wirefraud dolandırıcılığı gibi, aldatmaca, bir son tarihten önce ödemek için kurban üzerine baskı yaparak kurbanları zorla kurbanlara güveniyor. Maliyet etkinliği ve siber suçlular için gelir elde etmeye devam etme yeteneği nedeniyle bu eğilimin süresiz olarak devam etmesini bekliyoruz ” - Kroll
Kroll, 2021'den beri bu tür olayları gördü, ancak bu tür bir faaliyet Kasım 2019'un başlarında, ödemeyen kurbanların DDOS saldırıları yaşadığı zaman.
Bununla birlikte, saldırılar düşük seviyeli DDO'lardı ve gaspçılar ödenmedikçe daha büyük olanların tehdidi ile geldi.
Bu tür olaylar, 2017'de o zamanlar meşhur hacker gruplarının adı altında binlerce şirkete DDOS tehditleri gönderen bir gasp grubunun faaliyetini yansıtıyor (örneğin Yeni Dünya hackerları, kertenkele ekibi, Lulzsec, Fancy Bear ve anonim).
Olay Müdahale Şirketi Arete'nin bir başka raporu, Kroll’ın gece yarısı grubunun Surtr ve SRG'yi taklit eden hileli e -postaları ve 24 Mart'tan önceki haftalarda verilen daha fazla sayıda mesajı doğrulamaktadır.
Ancak görünürlüklerine dayanarak, olay müdahale ekipleri daha önce fidye yazılımı saldırısının kurbanı olan gece yarısı hedeflenen kuruluşların gözlemlendiğini gözlemlediler.
Arete’nin analistlerine göre, ilk saldırganlar arasında Quantumlocker (şu anda Dagonlocker olarak yeniden adlandırılan), Black Basta ve Luna Güve var.
Arete, mevcut ve önceki müşterilerinin en az 15'inin gece yarısı grubundan sahte tehditler aldığını ve bu da veri hırsızlığı iddialarını belirsiz ayrıntılarla desteklediğini söylüyor.
Mağdurların nasıl seçildiği belirsizdir, ancak bir olasılık ilk saldırganın veri sızıntı sitesi, sosyal medya, haber raporları veya şirket açıklamaları gibi halka açık kaynaklardandır.
Bununla birlikte, Arete, sahte saldırganın bazı fidye yazılımı kurbanlarını, bilgi kamuya açık olmadığında bile, muhtemelen ilk davetsiz misafirlerle işbirliğini gösterdiğini belirtiyor.
Fidye yazılımı aktörleri, ödedikleri verileri ödeme yaptıklarında bile satarlar. Geceyarısı Grubu, bu verilerin işlem gördüğü veya satıldığı pazarlara ve forumlara erişebilirse, henüz siber saldırıyı açıklamamış olan fidye yazılımı kurbanları hakkında bilgi edinebilirler.
Midnight Group’un gasp aldatmacası yeni değil. Taktik, 2019 yılında Phantom Olay Forceor adını veren Fidye Yazılımı Olay Müdahale Şirketi Coveware tarafından gözlemlenmiştir.
Coveware, tehdit oyuncusunun, alıcı hedefine özgü verileri kullanarak tehdide güvenilirlik vermeye çalıştığını, maliyetli bir sonucun baskısını eklediğini ve kamuya maruz kalmanın hasarından çok daha az ödeme talep ettiğini açıklıyor.
Bu üç bileşenin tümü, bir fantom olay gaspının (PIE) dayanak noktasıdır ve boş bir tehdidin net bir göstergesidir.
Coveware başlangıçta dört pasta dolandırıcılığı örneği sağladı ve raporu sadece yakın zamanda gece yarısı grubundan örnek bir e -postayla güncelledi.
Her üç şirket de gece yarısı grubunun tehditlerinin bir sahtekarlık kampanyasının bir parçası olduğunu değerlendiriyor. Arete’nin aktörle etkileşime girme girişimi, aktörden çalınan verilerin yanıtı veya kanıtı ile sonuçlanmadı.
Öneri, bir Phantom olay gasp mesajının bileşenlerini tanımak ve bunları boş bir tehdit olarak reddetmek için bu e -postaları dikkatlice analiz etmektir.
Ferrari, fidye talebini aldıktan sonra veri ihlalini açıklar
Realtek ve Cacti kusurları artık kötü amaçlı botnetler tarafından aktif olarak sömürülen
Crown Resorts, Goanywhere Breach'den sonra fidye talebini onaylıyor
İngiltere, siber suçluları tanımlamak için sahte DDOS siteleri oluşturur
Ransomware'de Hafta - 24 Mart 2023 - Clop aşırı yükü
Kaynak: Bleeping Computer