האקרים מתחזים לחוקרי אבטחה ומנסים לבצע סחיטה כפולה

This post is also available in: English (אנגלית)

במספר מקרי תקיפה, גורמי איום התחזו לחוקרי אבטחה לגיטימיים כדי לבצע ניסיונות סחיטה ע"י הבטחות לפרוץ לתשתית של כנופיות הכופר המקוריות כדי למחוק נתונים גנובים – תמורת תשלום.

חברת Arctic Wolf Labs מדווחת כי הגורמים הזדוניים יצרו קשר באמצעות פלטפורמת Tox Messaging עם הארגונים לאחר שסבלו מפריצות אבטחה, במה שהם מחשיבים כרגע כניסיונות סחיטה נוספים.

על פי Cybernews, בשני המקרים גורמי האיום העמידו פנים שהם מנסים לעזור לארגוני הקורבנות בכך שהציעו לפרוץ לתשתית השרתים של קבוצות הכופר המקוריות שתקפו את הארגון, ולמחוק את הנתונים. Arctic Wolf Labs טוענת כי זהו המקרה הראשון שדווח בו גורמים זדוניים מתחזים לחוקרים, ומשערת כי ניסיונות הסחיטה בוצעו ככל הנראה על ידי אותו גורם איום.

המקרה הראשון זוהה באוקטובר 2023 והתמקד בקורבנות של התקפות כופר של Royal, איתם יצרה קשר ישות בשם "קבוצת הצד האתי" (ESG) בטענה כי השיגה גישה לנתונים הגנובים. הישות אז הציעה לפרוץ לתוכנות הכופר ולמחוק את הנתונים שנגנבו תמורת תשלום – למרות טענות כי Royal מחקו כבר את הנתונים.

Arctic Wolf Labs מציינת כי בהתקשרות הראשונית שלה עם הקורבנות, ESG ייחסה בטעות את הפריצה המקורית לקבוצת הכופר TommyLeaks במקום ל-Royal.

המקרה השני היה דומה מאוד, ובו ישות בשם xanonymoux יצרה קשר עם קורבן של מתקפת הכופר Akira בטענה שיש לה גישה לשרת נפרד שהכיל את הנתונים הגנובים של הקורבן, ושהיא יכולה למחוק את הנתונים או לתת לקורבן גישה לשרת. זאת למרות העובדה כי Akira טענו שהם רק הצפינו את המערכות ולא גנבו נתונים מהקורבן.

שני המקרים האלה חולקים קווי דמיון רבים, ובניהם: תקשורת באמצעות פלטפורמת Tox, התחזות לחוקר אבטחה, טענה על גישה לתשתית שרתים, הצעה להוכחת הגישה לנתונים הגנובים, ציון כמות הנתונים הגנובים, ודרישה תשלום "סמלי" של 5 ביטקוין.

עדיין לא ידוע אם המזימה בוצעה על ידי קבוצות תוכנות הכופר המקוריות.