Злоумышленники пытаются выдать себя за уже неработающую хак-группу DarkSide и рассылают вымогательские письма компаниям, работающим в энергетическом и пищевом секторах, сообщает Trend Micro. Неясно, почему имитаторы выбрали именно эти отрасли, но можно предположить, что это связано с тем, что компании, работающие в этих сферах, как правило, платят вымогателям выкуп.

Напомню, что вымогательская группировка DarkSide объявила о прекращении работы еще в прошлом месяце, после скандальной атаки на компанию Colonial Pipeline, которая привлекла к хакерам слишком пристальное внимание властей.

Груп­пиров­ка, стоящая за мал­варью DarkSide, была активна с августа 2020 года и работа­ла по схе­ме «вымога­тель как услу­га» (Ransomware as a Service, RaaS), активно рек­ламируя мал­варь в дар­кне­те и сот­рудни­чая с дру­гими хак‑груп­пами. В ито­ге DarkSide пред­став­ляла собой клас­сичес­кого «охот­ника за круп­ной дичью», то есть ата­ковала круп­ные кор­поратив­ные сети, шиф­ровала данные, а затем тре­бовала у пос­тра­дав­ших ком­паний огромные выкупы. Если жер­твы отказывались пла­тить, участни­ки DarkSide публиковала похищен­ные у них дан­ные на сво­ем сай­те в дар­кне­те.

Эксперты Trend Micro предупреждают, что в июне была обнаружена новая вымогательская кампания, в рамках которой злоумышленники выдают себя за операторов DarkSide. В мошеннических письмах, которые злоумышленники, к примеру, отправляют с помощью контактных форм на сайтах жертв, утверждается, что хакеры успешно взломали сеть цели и получили доступ к конфиденциальной информации, которая будет «слита» в открытый доступ, если пострадавшие не заплатят выкуп в размере 100 биткоинов (более 3 млн долларов).

Во всех письмах злоумышленников используется один и тот же биткоин-адрес: bc1qcwrl3yaj8pqevj5hw3363tycx2x6m4nkaaqd5e. К настоящему моменту по этому адресу не производилось никаких платежей, и, скорее всего, картина не изменится, учитывая гигантский размер запрашиваемого выкупа.

Эксперты Trend Micro пишут, что электронные письма, которые им удалось изучить, были отправлены с адресов darkside@99email[.]xyz и darkside@solpatu[.]space, причем учетная запись на 99email.xyz — это одноразовый ящик.

Оставить мнение