Eine Cyberkriminelle gibt sich als bekannte Ransomware-Bande aus, um Geld von US-Unternehmen zu erpressen.
Seit März gibt sich die als Midnight bekannte Gruppe in E-Mails an US-Unternehmen als andere Banden aus und fordert sie auf, zu zahlen oder ihre Daten durchsickern zu lassen.
Die Bedrohungen sind jedoch völlig leer, da keine Malware-Tools verwendet werden, um Daten zu verschlüsseln oder zu stehlen. Im schlimmsten Fall wird die Gruppe DDoS-Angriffe initiieren, um den Eindruck zu erwecken, dass ein ernsthafterer Angriff stattfindet, aber die Endpunkte der Unternehmen bleiben durchgehend sicher.
Für Ängste beten
Die Gruppe hofft, von den jüngsten Erfolgen verschiedener Ransomware-Gruppen profitieren zu können, bei denen große Firmen schwerwiegende Datenlecks durch ihre Hände erlitten haben, mit dem Ziel, andere Unternehmen dazu zu bringen, blindlings zu husten, aus Angst, das neueste Opfer zu werden.
In einem Fall gab sich die Gruppe als Silent Ransom Group aus, eine Datendiebstahlbande, die es auf große Organisationen wie Waffenhersteller, Softwareunternehmen und sogar ein NBA-Team abgesehen hatte.
In derselben E-Mail sagten sie jedoch auch, sie seien die Surtr-Gruppe – bekannt für das gleichnamige Tool Ransomware as a Service (RaaS), deren Entwickler möglicherweise einst zur REvil-Ransomware-Gruppe gehörten, die von den Strafverfolgungsbehörden ausgeschaltet wurde letztes Jahr, hat aber seitdem ein Comeback hingelegt.
In einer weiteren E-Mail an ein anderes Unternehmen behauptete Midnight, Daten im Wert von 600 Gigabyte (GB) gestohlen zu haben, und forderte erneut Lösegeld. Sie schickten die E-Mail jedoch an einen Seniorpartner, der das Unternehmen vor über sechs Monaten verlassen hatte.
Ermittler des Risikoberaters Kroll stellten fest, dass die Zahl der E-Mails, die Unternehmen angeblich von der SRG erhielten, deutlich zunahm.
„Diese Methode ist billig und kann von gering qualifizierten Angreifern leicht durchgeführt werden … Der Betrug stützt sich auf Social Engineering, um Opfer zu erpressen, indem Druck auf das Opfer ausgeübt wird, vor Ablauf einer Frist zu zahlen“, sagten sie.
Sie fügten hinzu: “Wir gehen davon aus, dass sich dieser Trend aufgrund seiner Kosteneffizienz und der Fähigkeit, weiterhin Einnahmen für Cyberkriminelle zu generieren, auf unbestimmte Zeit fortsetzen wird.”
Die Ermittler von Kroll stellten fest, dass solche gefälschten E-Mails seit 2019 vorkommen, ebenso wie die DDoS-Angriffe, die erfolgen, wenn Unternehmen sich weigern, ein Lösegeld zu zahlen.
Die Incident-Response-Firma Arete fügte hinzu, dass Midnight anscheinend Unternehmen verfolgte, die bereits einen echten Ransomware-Angriff erlitten hatten, und dass ihre Lösegeld-E-Mails Anspielungen auf die echten Angriffe enthielten, um ihre Authentizität zu stärken.
In einigen Fällen stellte Arete fest, dass Midnight auf nicht genannte Opfer echter Angriffe abzielte, was möglicherweise darauf hindeutet, dass die Gruppe mit echten Ransomware-Banden zusammenarbeitet. Es ist auch möglich, dass sie diese Informationen aus illegalen Foren erhalten haben, in denen Banden über ihre Angriffe und Opfer diskutieren und posten.
Der Rat an Unternehmen lautet, alle erhaltenen E-Mails zur Erpressung von Phantomvorfällen (PIE) sorgfältig auf ihren Wahrheitsgehalt zu analysieren und sie abzulehnen, wenn sie nicht der Realität entsprechen, da es sich in diesem Fall höchstwahrscheinlich um Phishing-Versuche handelt.