Une équipe de cybercriminels se fait passer pour des gangs de rançongiciels bien connus afin d’extorquer de l’argent à des entreprises américaines.
Depuis mars, le groupe, connu sous le nom de Midnight, s’est fait passer pour d’autres gangs dans des e-mails envoyés à des entreprises américaines, leur demandant de payer ou de faire divulguer leurs données.
Cependant, les menaces sont complètement vides, car aucun outil malveillant n’est utilisé pour chiffrer ou voler des données. Au pire, le groupe lancera des attaques DDoS pour donner l’impression qu’une attaque plus sérieuse est en cours, mais les terminaux des entreprises restent sûrs tout au long.
Prier sur les peurs
Le groupe espère tirer parti des récents succès de divers groupes de rançongiciels, où de grandes entreprises ont subi de graves fuites de données, dans le but d’effrayer d’autres entreprises en toussant aveuglément de peur de devenir la dernière victime.
Dans un cas, le groupe a été vu en train de se faire passer pour le Silent Ransom Group, un gang de voleurs de données qui a ciblé de grandes organisations telles que des fabricants d’armes, des éditeurs de logiciels et même une équipe de la NBA.
Cependant, dans le même e-mail, ils ont également déclaré qu’ils étaient le groupe Surtr – connu pour l’outil Ransomware en tant que service (RaaS) du même nom, dont les développeurs ont peut-être appartenu au groupe de ransomwares REvil qui a été supprimé par les forces de l’ordre. l’année dernière, mais a depuis fait un retour.
Dans un autre e-mail adressé à une autre société, Midnight a affirmé avoir volé 600 gigaoctets (Go) de données et a de nouveau exigé une rançon. Cependant, ils ont envoyé l’e-mail à un associé principal qui avait quitté l’entreprise il y a plus de six mois.
Les enquêteurs des consultants à risque Kroll ont constaté une augmentation marquée du nombre d’e-mails que les entreprises recevaient prétendument de SRG.
« Cette méthode est bon marché et facilement menée par des attaquants peu qualifiés… L’escroquerie s’appuie sur l’ingénierie sociale pour extorquer les victimes en faisant pression sur la victime pour qu’elle paie avant une date limite », ont-ils déclaré.
Ils ont ajouté que « nous nous attendons à ce que cette tendance se poursuive indéfiniment en raison de sa rentabilité et de sa capacité à continuer à générer des revenus pour les cybercriminels ».
Les enquêteurs de Kroll ont noté que de tels faux e-mails se produisaient depuis 2019, tout comme les attaques DDoS qui s’ensuivent lorsque les entreprises refusent de payer une rançon.
La société de réponse aux incidents Arete a ajouté que Midnight semblait s’en prendre aux entreprises qui avaient déjà subi une véritable attaque de ransomware, et que leurs e-mails de rançon contenaient des allusions aux véritables attaques pour renforcer leur authenticité.
Dans certains cas, Arete a découvert que Midnight ciblait des victimes non divulguées d’attaques réelles, ce qui pourrait indiquer que le groupe est en collusion avec de véritables gangs de ransomwares. Il est également possible qu’ils aient obtenu ces informations sur des forums illicites où les gangs discutent et publient sur leurs attaques et leurs victimes.
Le conseil aux entreprises est d’analyser soigneusement pour leur véracité tous les e-mails d’extorsion d’incidents fantômes (PIE) reçus et de les rejeter s’ils semblent quelque chose de moins que la réalité, car, dans ce cas, il s’agira plus que probablement de tentatives de phishing.