Новая группировка Midnight забирает себе жертв других киберпреступников

Новая группировка Midnight забирает себе жертв других киберпреступников

Хакеры выдают себя за известные группировки и дают пустые обещания.

image

Хакеры угрожают американским компаниям поддельной утечкой данных в случае неуплаты выкупа. В некоторых случаях хакеры обещают провести DDoS-атаку, если жертва не выполняет требования злоумышленников.

Киберпреступники, стоящие за этой кампанией, называют себя Midnight и атакуют компании в США как минимум с 16 марта. В электронных письмах, отправляемых жертвам, хакеры выдают себя за другие группировки.

Так, в одном из писем сотруднику производителя присадок к нефтепродуктам злоумышленник представился Silent Ransom Group (Luna Moth) — отделившаяся от синдиката Conti группа , занимающаяся кражей данных и вымогательством. Однако теме этого письма использовалось название группы вымогателей Surtr, впервые замеченной в декабре 2021 года.

Midnight выдает себя за программу-вымогатель Surtr и группу Silent Ransom

В другом письме от Midnight Group хакеры утверждали, что украли и опубликовали 600 ГБ «важных данных» с серверов неназванной компании. Сообщения были отправлены на адрес старшего специалиста по финансовому планированию, покинувшего целевую компанию более полугода назад.

Специалисты фирмы Kroll также отметили, что в некоторых электронных письмах содержались угрозы DDoS-атак. Тем не менее, обещанные DDoS-атаки были низкоуровневыми и сопровождались угрозой более крупных атак в случае неуплаты выкупа.

Кроме того, эксперты ИБ-компании Arete заметили, что Midnight нацелена на организации, которые ранее были жертвами программ-вымогателей. По данным Arete, минимум 15 нынешних и предыдущих клиентов компании Arete получили ложные угрозы от Midnight Group, которые подкреплялись заявлениями о краже данных с расплывчатыми подробностями.

Неясно, как выбираются жертвы, но один из возможных вариантов — из общедоступных источников, таких как сайт утечек других группировок, социальные сети, новостные материалы или отчёты ИБ-компаний.

Arete отмечает, что хакеры Midnight идентифицировали некоторые компании, даже когда утечка данных жертв не была общедоступной, что указывает на возможное сотрудничество с другими группировками.

Операторы программ-вымогателей часто продают украденные данные даже когда жертвы платят выкуп. Если у Midnight Group есть доступ к рынкам и форумам, где эти данные продаются, хакеры могут узнать о жертвах программ-вымогателей, которые еще не заявили публично о кибератаке.

Исследователи кибербезопасности утверждают, что угрозы Midnight Group являются частью мошеннической кампании. Такой метод вымогательства называется Phantom Incident Extortion (PIE).

После попытки Arete связаться с хакерами ответа от злоумышленников так и не поступило, как и доказательства украденных данных. Рекомендуется тщательно анализировать подобные электронные письма, чтобы распознать признаком поддельного сообщения о вымогательстве и отклонить его как пустую угрозу.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!