Злоумышленники пытаются выдать себя за уже неработающую хак-группу DarkSide и рассылают вымогательские письма компаниям, работающим в энергетическом и пищевом секторах, сообщает Trend Micro. Неясно, почему имитаторы выбрали именно эти отрасли, но можно предположить, что это связано с тем, что компании, работающие в этих сферах, как правило, платят вымогателям выкуп.
Напомню, что вымогательская группировка DarkSide объявила о прекращении работы еще в прошлом месяце, после скандальной атаки на компанию Colonial Pipeline, которая привлекла к хакерам слишком пристальное внимание властей.
Группировка, стоящая за малварью DarkSide, была активна с августа 2020 года и работала по схеме «вымогатель как услуга» (Ransomware as a Service, RaaS), активно рекламируя малварь в даркнете и сотрудничая с другими хак‑группами. В итоге DarkSide представляла собой классического «охотника за крупной дичью», то есть атаковала крупные корпоративные сети, шифровала данные, а затем требовала у пострадавших компаний огромные выкупы. Если жертвы отказывались платить, участники DarkSide публиковала похищенные у них данные на своем сайте в даркнете.
Эксперты Trend Micro предупреждают, что в июне была обнаружена новая вымогательская кампания, в рамках которой злоумышленники выдают себя за операторов DarkSide. В мошеннических письмах, которые злоумышленники, к примеру, отправляют с помощью контактных форм на сайтах жертв, утверждается, что хакеры успешно взломали сеть цели и получили доступ к конфиденциальной информации, которая будет «слита» в открытый доступ, если пострадавшие не заплатят выкуп в размере 100 биткоинов (более 3 млн долларов).
Во всех письмах злоумышленников используется один и тот же биткоин-адрес: bc1qcwrl3yaj8pqevj5hw3363tycx2x6m4nkaaqd5e. К настоящему моменту по этому адресу не производилось никаких платежей, и, скорее всего, картина не изменится, учитывая гигантский размер запрашиваемого выкупа.
Эксперты Trend Micro пишут, что электронные письма, которые им удалось изучить, были отправлены с адресов darkside@99email[.]xyz и darkside@solpatu[.]space, причем учетная запись на 99email.xyz — это одноразовый ящик.
