Pemeras palsu membonceng pelanggaran data dan insiden ransomware, mengancam perusahaan AS dengan menerbitkan atau menjual data yang diduga dicuri kecuali mereka dibayar.
Terkadang pelaku menambahkan ancaman serangan denial-of-service (DDoS) terdistribusi jika penerima pesan tidak mematuhi instruksi dalam pesan.
Aktor yang buruk
Para penyerang di balik aktivitas ini menggunakan nama Midnight dan mulai mengincar perusahaan-perusahaan di AS setidaknya sejak 16 Maret.
Mereka juga menyamar sebagai beberapa ransomware dan geng pemerasan data dalam email dan mengklaim sebagai pembuat intrusi, mencuri ratusan gigabyte data penting.
Dalam salah satu email kepada karyawan sebuah perusahaan induk di industri aditif minyak bumi, pelaku ancaman mengaku sebagai Grup Tebusan Senyap (SRG) – pecahan dari sindikat Conti yang berfokus pada pencurian data dan pemerasan korban, juga dikenal sebagai Luna Ngengat.
Pesan yang sama, bagaimanapun, digunakan dalam baris subjek nama aktor ancaman lain, the Grup ransomware Surtrpertama kali terlihat mengenkripsi jaringan perusahaan pada Desember 2021.
sumber: BleepingComputer
BleepingComputer menemukan email lain dari Midnight Group, menyatakan bahwa mereka adalah pembuat pelanggaran data dan bahwa mereka mencuri 600GB “data penting” dari server.
Pesan tersebut dikirim ke alamat perencana keuangan senior yang telah meninggalkan perusahaan target lebih dari setengah tahun sebelumnya.
sumber: BleepingComputer
Ancaman DDoS yang tertunda
Sebuah laporan pada akhir Maret dari divisi deteksi dan respons terkelola di investigasi perusahaan Kroll dan perusahaan konsultan risiko mencatat bahwa beberapa pengirim email serupa juga terancam serangan DDoS.
Penyelidik Kroll mengatakan bahwa mulai 23 Maret organisasi mulai mengajukan peningkatan jumlah laporan untuk email yang diterima dengan nama Silent Ransom Group.
Ini adalah “gelombang baru upaya pemerasan palsu,” kata responden Kroll dalam laporan tersebut, menambahkan bahwa penulis menggunakan nama penjahat dunia maya yang lebih terkenal dalam upaya untuk mengintimidasi dan memberikan legitimasi terhadap ancaman tersebut.
“Metode ini murah dan mudah dilakukan oleh penyerang berketerampilan rendah. Sama seperti penipuan wirefraud 419, penipuan ini mengandalkan rekayasa sosial untuk memeras korban dengan menekan korban untuk membayar sebelum tenggat waktu. Kami memperkirakan tren ini akan berlanjut tanpa batas waktu karena efektivitas biaya dan kemampuannya untuk terus menghasilkan pendapatan bagi penjahat dunia maya” – Kroll
Kroll telah melihat insiden seperti itu sejak 2021, meskipun aktivitas tersebut dimulai pada awal November 2019, ketika korban yang tidak membayar juga mengalami serangan DDoS.
Namun demikian, serangan itu adalah DDoS tingkat rendah dan datang dengan ancaman yang lebih besar kecuali pemeras dibayar.
Insiden semacam itu menggemakan aktivitas kelompok pemerasan yang dikirim pada 2017 Ancaman DDoS terhadap ribuan perusahaan dengan nama kelompok peretas terkenal pada saat itu (mis. Peretas Dunia Baru, Pasukan Kadal, LulzSec, Beruang Mewah, dan Anonim).
Menargetkan korban serangan ransomware
Laporan lain dari perusahaan tanggap insiden Arete mengonfirmasi pengamatan Kroll tentang email penipuan Midnight Group yang menyamar sebagai Surtr dan SRG dan lebih banyak pesan yang dikirim dalam minggu-minggu sebelum 24 Maret.
Namun, berdasarkan visibilitas mereka, responden insiden mengamati bahwa Midnight menargetkan organisasi yang sebelumnya menjadi korban serangan ransomware.
Menurut analis Arete, di antara penyerang awal adalah QuantumLocker (saat ini berganti nama menjadi DagonLocker), Black Basta, dan Luna Moth.
Arete mengatakan bahwa setidaknya 15 klien mereka saat ini dan sebelumnya menerima ancaman palsu dari Midnight Group, yang mendukung klaim pencurian data mereka dengan detail yang tidak jelas.
Tidak jelas bagaimana korban dipilih tetapi satu kemungkinan berasal dari sumber yang tersedia untuk umum, seperti situs kebocoran data penyerang awal, media sosial, laporan berita, atau pengungkapan perusahaan.
Namun, Arete mencatat bahwa penyerang palsu mengidentifikasi beberapa korban ransomware bahkan ketika info tersebut tidak tersedia untuk umum, kemungkinan menunjukkan kolaborasi dengan penyusup awal.
Pelaku ransomware sering kali menjual data yang mereka curi dari korban meskipun mereka dibayar. Jika Midnight Group memiliki akses ke pasar dan forum tempat data ini diperdagangkan atau dijual, mereka dapat mengetahui tentang korban ransomware yang belum mengungkapkan serangan dunia maya tersebut.
Ancaman kosong sejak 2019
Penipuan pemerasan Midnight Group bukanlah hal baru. Taktik tersebut telah diamati pada tahun 2019 oleh perusahaan respons insiden ransomware Coveware yang menyebutnya Pemerasan Insiden Hantu.
Coveware menjelaskan bahwa pelaku ancaman mencoba untuk memberikan kredibilitas terhadap ancaman dengan menggunakan data yang unik untuk target penerima, menambah tekanan dari hasil yang mahal, dan menuntut pembayaran yang jauh lebih sedikit daripada kerugian paparan publik.
Ketiga komponen ini adalah andalan dari phantom incident extortion (PIE) dan indikasi yang jelas dari ancaman kosong.
Coveware awalnya memberikan empat contoh penipuan PIE dan memperbarui laporan baru-baru ini dengan email sampel dari Midnight Group.
Ketiga perusahaan tersebut menilai ancaman Midnight Group merupakan bagian dari kampanye penipuan. Upaya Arete untuk berhubungan dengan aktor tersebut tidak menghasilkan tanggapan atau bukti data yang dicuri dari aktor tersebut.
Rekomendasinya adalah dengan hati-hati menganalisis email semacam itu untuk mengenali komponen pesan pemerasan insiden hantu dan mengabaikannya sebagai ancaman kosong.
