Ορισμένοι οργανισμοί που πέφτουν θύματα από τις συμμορίες
ransomware
Royal και
Akira
έχουν γίνει στόχος ενός ηθοποιού απειλών που παριστάνεται ως ερευνητής ασφάλειας που υποσχέθηκε να χακάρει τον αρχικό εισβολέα και να διαγράψει τα κλεμμένα δεδομένα θυμάτων.
Τόσο οι επιχειρήσεις ransomware της Royal όσο και της Akira χρησιμοποιούν την τακτική του διπλού εκβιασμού – κρυπτογράφηση συστημάτων θυμάτων μετά την κλοπή πληροφοριών και απειλούν με διαρροή δεδομένων, εκτός εάν καταβληθούν λύτρα.
Εταιρεία
κυβερνοασφάλεια
ς
Αρκτικός Λύκος
λέει ότι έχει ερευνήσει “αρκετές περιπτώσεις” όπου τα θύματα των δύο ομάδων ransomware που πλήρωσαν λύτρα προσεγγίστηκαν από έναν παράγοντα απειλών που ισχυρίστηκε ότι ήταν ηθικός χάκερ ή ερευνητής ασφάλειας με βαθιά κατανόηση του πεδίου.
Ο ψεύτικος ερευνητής προσφέρθηκε να παράσχει απόδειξη πρόσβασης στα κλεμμένα δεδομένα που εξακολουθούσαν να βρίσκονται στους διακομιστές του εισβολέα και είπε ότι θα μπορούσαν να τα διαγράψουν έναντι χρέωσης έως και πέντε Bitcoin (περίπου 190.000 $ εκείνη τη στιγμή).
Η έκθεση του Arctic Wolf παρουσιάζει δύο περιπτώσεις από τον Οκτώβριο και τον Νοέμβριο του 2023, όπου ο κυβερνοεγκληματίας επικοινώνησε με οργανισμούς που είχαν παραβιαστεί από ransomware Royal και Akira.
Στην πρώτη περίπτωση, ο απατεώνας υποδυόταν την «Ηθική Πλευρική Ομάδα» (ESG) και αρχικά απέδωσε κατά λάθος την επίθεση στη συμμορία «TommyLeaks», ενώ αργότερα άλλαξε σε μια αφήγηση που διεκδικούσε πρόσβαση στον διακομιστή του Royal.
Αξίζει να σημειωθεί ότι αυτό το θύμα είχε συμμετάσχει σε διαπραγματεύσεις με τον ηθοποιό ransomware ένα χρόνο πριν, το 2022.
Στο δεύτερο περιστατικό, ο απατεώνας χρησιμοποίησε το ψευδώνυμο «xanonymoux» και προσφέρθηκε να διαγράψει αρχεία στους διακομιστές του Akira ή να παράσχει πρόσβαση στον διακομιστή του ηθοποιού.
Ωστόσο, σε επικοινωνία αρκετές εβδομάδες πριν από την
προσφορά
hack
-back, ο Akira είπε ότι δεν διείσδυσαν δεδομένα και η επίθεσή τους κρυπτογραφούσε μόνο τα παραβιασμένα συστήματα.
Η τακτική του απατεώνα
(Arctic Wolf)
Ο Arctic Wolf αναφέρει ότι η αρχική επικοινωνία μέσω ενός προγράμματος άμεσων μηνυμάτων περιείχε δέκα κοινές φράσεις και η ίδια μέθοδος χρησιμοποιήθηκε για την παροχή απόδειξης πρόσβασης στα κλεμμένα δεδομένα. Αυτό υποδηλώνει ότι το ίδιο άτομο βρισκόταν πίσω από τις δύο απόπειρες.
Οι επιθέσεις ransomware παρουσιάζουν ένα σύνθετο δίκτυο προκλήσεων για τα θύματα, που εκτείνεται πολύ πέρα από την άμεση κρίση κρυπτογραφημένων και κλεμμένων δεδομένων, με διαρκές αποτέλεσμα.
Αυτές οι απόπειρες απάτης υπογραμμίζουν μια άλλη πτυχή του πολυεπίπεδου προβλήματος και συνιστούν πρόσθετους κινδύνους που μπορούν να επιδεινώσουν την οικονομική επιβάρυνση για τα θύματα ransomware.
VIA:
bleepingcomputer.com
