האקרים מתחזים כחוקר אבטחה כדי לסייע לנפגעי תוכנות כופר
Deprecated: preg_split(): Passing null to parameter #3 ($limit) of type int is deprecated in /var/www/vhosts/xunhaot.com/httpdocs/wp-content/themes/jannah/framework/functions/post-functions.php on line 888
האקרים מתחזים לחוקרי אבטחה כדי לנצל אמון ואמינות. על ידי התחזות לדמויות לגיטימיות בקהילת אבטחת הסייבר, הם:
- קבל גישה למידע רגיש
- מניפולציה של קורבנות לפעולות פשרניות
- שפר את הצלחת הפעילויות הזדוניות שלהם תוך התחמקות מחשדות
חוקרי אבטחת סייבר ב-Arctic Wolf Labs גילו לאחרונה שהאקרים מתחזים באופן פעיל לחוקרי אבטחה כדי לסייע לנפגעי תוכנות כופר.
ניתוח טכני
חוקרי Arctic Wolf Labs גילו שנפגעי תוכנות כופר נסחטו שוב, כאשר 'עוזרים' מזויפים הבטיחו למחוק נתונים גנובים.
הם התחזו לחוקרי אבטחה בשני מקרים, והציעו לפרוץ לשרתים של קבוצת תוכנות הכופר המקוריות. זהו המקרה הידוע הראשון של שחקן איום שמתחזה לחוקר לגיטימי ומציע למחוק נתונים שנפרצו מקבוצת תוכנות כופר אחרת.
למרות אישים שונים, מנתחי האבטחה מאמינים שזה כנראה אותו שחקן מאחורי שני ניסיונות הסחיטה.
למרות שנראים מובחנים, שני המקרים חולקים אלמנטים מרכזיים. ניתוח סגנונות התקשורת שלהם גילה קווי דמיון ברורים.
מלבד זאת, ההיבטים הייחודיים כוללים את הדברים הבאים:
- דרישות כופר נמוכות
- מתחזה לחוקר לגיטימי
- מציע מחיקת נתונים כדי למנוע התקפות עתידיות
מקרים
להלן, הזכרנו את שני המקרים שזיהו חוקרי אבטחת הסייבר:
- מקרה 1 – פשרה Royal Ransomware וסחיטת נתונים מחיקת קבוצת צד אתית: במקרה זה, Ethical Side Group (ESG) סיפרה לקורבן Royal Ransomware באוקטובר 2023 באמצעות דואר אלקטרוני שיש להם נתוני קורבן שנלקחו על ידי Royal. בשנת 2022, רויאל אמר שהם מחקו את זה, אבל ESG האשימה בטעות את TommyLeaks. ESG הציעה לפרוץ ולמחוק את הנתונים מהשרת של רויאל תמורת תשלום.
- מקרה 2 – פשרה של Akira Ransomware וסחיטת מחיקת נתונים של xanonymoux: במקרה זה, ישות הטוענת להיות "xanonymoux" סיפרה לקורבן אקירה בנובמבר 2023 שיש לה את הנתונים שהודחו שאקירה הכחישה. זו הסיבה ש-xanonymoux הציעה את עזרתה למחוק את הנתונים או להעניק גישה לשרת, בטענה לקישור של אקירה לקבוצת הסחיטה של Karakurt.
- פועל בתפקיד חוקר אבטחה
- הגן על הזכות לבחון את תשתית המחשב המאכלסת נתונים שנפגעו בעבר
- החליפו הודעות על טוקס
- מסופק כאמצעי לבסס סמכות שיפוט לגבי מידע גנוב
- פוטנציאל להתקפות כאלה בעתיד עקב חששות אבטחה לא פתורים
- כמות הנתונים שחולצה בעבר
- סכום תשלום מינימלי נדרש (<= 5 BTC)
- עשרה מונחים המופיעים גם בגוף האימייל וגם בכותרת
- שימוש ב-file.io כדי להוכיח גישה לנתוני הקורבן
מפענח את העולם המסובך של תוכנות הכופר, שלוחות RaaS מלהטטות עם עומסי הצפנה מרובים.
חוסר הוודאות נמשך לגבי סנקציות קבוצתיות בסחיטה נוספת. היזהר מהסתמכות על מפעלים פליליים כדי למחוק נתונים לאחר תשלום.
לאחר ניתוח קווי הדמיון שנמצאו במקרים המתועדים, החוקרים מסיקים באופן סביר ששחקן איום יחיד פגע בארגונים שהושפעו בעבר מהתקפות כופר של Royal ו- Akira. מסקנה זו נעשית ברמת ביטחון בינונית. עם זאת, עדיין לא ברור אם קבוצות תוכנות הכופר המקוריות אישרו את המקרים הבאים של סחיטה או ששחקן האיום פעל באופן עצמאי כדי להשיג עוד כספים מהארגונים הממוקדים.