Команда Arctic Wolf Labs обнаружилановую схему мошенничества, направленную против жертв вымогательского ПО. По данным Arctic Wolf, пострадавшие от действий групп Royal и Akira были целями для третьих лиц, выдающих себя за “доброжелательных исследователей безопасности”. Злоумышленники предлагали услуги по удалению украденных данных за определённую плату.
С жертвами вымогательского ПО связывалось лицо, представляющееся исследователем безопасности. Одной из жертв было предложено взломать сервер группы вымогателей и удалить украденные данные. Другой жертве злоумышленник предложил доступ к серверам, где хранились украденные данные, с возможностью их удаления или предоставления доступа к серверу самой жертве. За свои услуги мошенники требовали оплату в размере около 5 BTC ($225 823 по сегодняшнему курсу).
В Arctic Wolf отметили, что это первый зафиксированный случай, когда злоумышленник, выдавая себя за исследователя безопасности, предлагал удалить данные, украденные другой группой вымогателей. Ранее подобные попытки повторного вымогательства осуществлялись теми же группами вымогателей, которые и похищали данные жертвы.
Несмотря на использование разных псевдонимов при каждой попытке вымогательства, в общении с жертвами был обнаружен ряд сходств, что указывает на то, что за мошенничеством стоит один и тот же человек:
- Представляется исследователем безопасности;
- Утверждает, что имеет доступ к украденным данным через серверы групп вымогателей;
- Общение ведется через анонимный мессенджер Tox;
- Готов предоставить доказательства доступа к украденным данным;
- Использование файлового сервиса file.io для демонстрации доступа к данным жертвы;
- Намекает на риск будущих атак, если жертва откажется от его услуг;
- Указывает объем похищенных данных;
- Требует схожую сумму выкупа;
- Использует до 10 одинаковых фраз во вступительных электронных письмах.
На данный момент было замечено только 2 случая таких попыток вымогательства, и ни одна из них не привела к успеху. Жертвами стали 2 американские компании из секторов финансов и строительства.
Пока неясно, почему именно жертвы вымогательского ПО Royal и Akira стали целью для этих атак. Специалисты предполагают, что за попытками вымогательства мог стоять отдельный киберпреступник или группа, имеющая доступ к ресурсам обеих групп вымогателей. Исследователи продолжают изучать все аспекты обнаруженных инцидентов, включая возможное одобрение группировками последующих действий вымогателя.