Hackerii adoptă rolul de cercetători de securitate în scopul de a exploata încrederea victimelor și de a obține credibilitate. Prin prezentarea lor ca fiind persoane legitime în comunitatea de securitate cibernetică, aceștia:
- Obțin acces la informații sensibile;
- Manipulează victimele să întreprindă acțiuni compromițătoare;
- Îmbunătățesc succesul activităților malițioase, evitând suspiciunea.
Pretinși cercetători de securitate implică victimele în încercări de șantaj
În două cazuri, victimele atacurilor de ransomware sunt supuse unei noi încercări de șantaj, cu ajutorul unor "asistenți" falși care promit să șteargă datele furate. Acestea sunt primele incidente cunoscute care au raportat că un actor de amenințare pretinde a fi un cercetător legitim și oferă să șteargă datele compromise de la alt grup ransomware. Cu toate că personalitățile par diferite, analiștii de securitate cred că este probabil același actor în spatele ambelor tentative de șantaj.
În ciuda diferențelor aparente, ambele cazuri împărtășesc elemente cheie. Analiza stilurilor lor de comunicare a relevat similarități evidente.
Prima instanță de șantaj cu ransomware-ul Royal și evoluția acestei tulpini de malware
La începutul lunii octombrie 2023, o entitate care se descria drept Grupul Etic al Laturii (ESG) a contactat o victimă a ransomware-ului Royal printr-un e-mail și a pretins că a obținut acces la datele victimei, inițial exfiltrate de Royal. Remarcabil este faptul că, în negocierile anterioare din 2022, Royal pretinsese că a șters datele.
În mod interesant, în comunicările lor inițiale, ESG a atribuit fals compromiterea inițială grupului de ransomware TommyLeaks în loc de Royal ransomware.
ESG a oferit în cele din urmă să se infiltreze în infrastructura serverelor Royal ransomware și să șteargă permanent datele organizației vizate în schimbul unei taxe.
Royal Ransomware descrie o nouă tulpină de ransomware care a fost descoperită recent. Ransomware-ul, numit "Royal", infectează calculatoarele utilizatorilor și criptează fișierele acestora, cerând o răscumpărare pentru a le descifra.
Royal este un tip de ransomware evoluat, care folosește o tehnică avansată de criptare pentru a bloca fișierele utilizatorilor și le atribuie o extensie .[royallyransomed]. Apoi, atacatorii cer o sumă de bani în criptomonede, de obicei Bitcoin, pentru a oferi cheile de decriptare necesare.
Evoluția celei de-a doua tentative de șantaj cu ransomware-ul Akira
A doua situație a urmat un model similar celui expus mai sus; o entitate separată numită Xanonymoux a contactat o victimă a atacului de criptare Akira ransomware. Xanonymoux pretindea că are acces la un server separat care găzduia datele exfiltrate ale victimei. Contrar cu toate acestea, grupul de ransomware Akira susținea că doar a criptat sistemele și nu afirma că a exfiltrat datele victimei.
Adversarul le-a spus victimei că au compromis infrastructura serverelor Akira și că pot șterge datele victimei sau le pot oferi acces la propriul lor server.
Akira Ransomware este un tip de malware care infectează dispozitivele Cisco ASA prin exploatarea unei vulnerabilități cunoscute în software-ul acestora. Ransomware-ul criptează astfel configurațiile și fișierele importante stocate pe dispozitivele ASA, blocându-le accesul utilizatorilor.
Atacul Akira Ransomware este deosebit de periculos deoarece dispozitivele Cisco ASA sunt larg utilizate în întreaga lume pentru protejarea rețelelor și sunt esențiale pentru securitatea informațiilor și operaționalitatea rețelelor. Odată ce dispozitivul este infectat, utilizatorii vor fi contactați de către atacatori și li se va solicita o sumă de bani pentru a primi cheia de decriptare a datelor.
Analogii și concluzii: similarități cheie în încercările de șantaj cu ransomware-ul Royal și Akira
Cele două cazuri prezintă similitudini pe care Arctic Wolf Labs le-a observat în timpul analizei sale.
- Comunicare prin intermediul Tox ("Tox" este o platformă de mesagerie securizată și descentralizată care permite comunicarea anonimă între utilizatori);
- Actorii de amenințare s-au dat drept cercetători de securitate;
- Au pretins că au acces la infrastructura serverului;
- Au oferit să dovedească accesul la datele furate;
- Au sugerat riscul unor atacuri viitoare în cazul neprezentării unei soluții;
- Au specificat cantitatea de date furate;
- Au solicitat o taxă mică de cinci Bitcoin;
- Au folosit un limbaj similar în e-mailurile trimise victimelor în ambele situații;
- Au utilizat file.io pentru a furniza dovezi ale datelor furate ale victimelor.
Analizând elementele comune dintre cele două cazuri documentate, putem concluziona că un actor de amenințare comun a încercat să șantajeze organizații care au fost anterior victime ale atacurilor de ransomware Royal și Akira, continuând cu eforturile ulterioare. Cu toate acestea, rămâne neclar dacă grupurile inițiale de ransomware au autorizat cazurile ulterioare de șantaj sau dacă actorul de amenințare a acționat independent pentru a obține fonduri suplimentare de la organizațiile victime.
Pentru a reduce riscul de a deveni victime ale unor astfel de amenințări, îndemnăm cititorii să încurajeze o cultură solidă de securitate cibernetică în interiorul organizațiilor lor. Acest efort implică actualizarea regulată a software-ului și a sistemelor, oferirea de formare continuă pentru personalul responsabil de securitate și conștientizarea asupra situațiilor întâmpinate de victimele atacurilor de ransomware. Aceste exemple practice pot servi ca ghid pentru consolidarea vigilenței și prevenirea cazurilor de șantaj, cum sunt cele două analizate de experții în securitate cibernetică.