Интересно Новая опасность для жертв киберпреступлений: фальшивые ИБ-специалисты предлагают "решить вопрос" с вымогателями

[Sepultura_North]

​

Новая опасность для жертв киберпреступлений: фальшивые ИБ-специалисты предлагают "решить вопрос" с вымогателями​

11 января, 2024

Жертвы Royal и Akira подверглись повторному вымогательству от доброжелательного исследователя безопасности.

Команда Arctic Wolf – это компания, специализирующаяся в области кибербезопасности. Она предоставляет услуги по мониторингу безопасности, управлению рисками и реагированию на инциденты. Основная цель Arctic Wolf – помогать организациям защищаться от киберугроз через комбинацию передовых технологий и опыта экспертов в области безопасности.
Arctic Wolf Labs обнаружила новую схему мошенничества, направленную против жертв вымогательского ПО. По данным Arctic Wolf, пострадавшие от действий групп Royal и Akira были целями для третьих лиц, выдающих себя за «доброжелательных исследователей безопасности». Злоумышленники предлагали услуги по удалению украденных данных за определённую плату.

С жертвами вымогательского ПО связывалось лицо, представляющееся исследователем безопасности. Одной из жертв было предложено взломать сервер группы вымогателей и удалить украденные данные. Другой жертве злоумышленник предложил доступ к серверам, где хранились украденные данные, с возможностью их удаления или предоставления доступа к серверу самой жертве. За свои услуги мошенники требовали оплату в размере около 5 Биткойн — это криптовалюта, виртуальная валюта, предназначенная для использования в качестве денег и формы платежа вне контроля какого-либо одного лица, группы или организации, что устраняет необходимость участия третьих лиц в финансовых транзакциях. Биткойн был представлен публике в 2009 году анонимным разработчиком или группой разработчиков под именем Сатоши Накамото.
BTC ($225 823 по сегодняшнему курсу).

В Arctic Wolf отметили, что это первый зафиксированный случай, когда злоумышленник, выдавая себя за исследователя безопасности, предлагал удалить данные, украденные другой группой вымогателей. Ранее подобные попытки повторного вымогательства осуществлялись теми же группами вымогателей, которые и похищали данные жертвы.
Несмотря на использование разных псевдонимов при каждой попытке вымогательства, в общении с жертвами был обнаружен ряд сходств, что указывает на то, что за мошенничеством стоит один и тот же человек:

• Представляется исследователем безопасности;
• Утверждает, что имеет доступ к украденным данным через серверы групп вымогателей;
• Общение ведется через анонимный мессенджер Tox;
• Готов предоставить доказательства доступа к украденным данным;
• Использование файлового сервиса file.io для демонстрации доступа к данным жертвы;
• Намекает на риск будущих атак, если жертва откажется от его услуг;
• Указывает объем похищенных данных;
• Требует схожую сумму выкупа;
• Использует до 10 одинаковых фраз во вступительных электронных письмах.

На данный момент было замечено только 2 случая таких попыток вымогательства, и ни одна из них не привела к успеху. Жертвами стали 2 американские компании из секторов финансов и строительства.
Пока неясно, почему именно жертвы вымогательского ПО Royal и Akira стали целью для этих атак. Специалисты предполагают, что за попытками вымогательства мог стоять отдельный киберпреступник или группа, имеющая доступ к ресурсам обеих групп вымогателей. Исследователи продолжают изучать все аспекты обнаруженных инцидентов, включая возможное одобрение группировками последующих действий вымогателя.