Les faux extorqueurs s’appuient sur les violations de données et les incidents de ransomware, menaçant les entreprises américaines de publier ou de vendre des données prétendument volées à moins qu’elles ne soient payées.
Parfois, les acteurs ajoutent la menace d’une attaque par déni de service distribué (DDoS) si le destinataire du message ne se conforme pas aux instructions contenues dans le message.
Mauvais acteurs
Les attaquants derrière cette activité utilisent le nom de Midnight et ont commencé à cibler des entreprises aux États-Unis depuis au moins le 16 mars.
Ils se sont également fait passer pour certains rançongiciels et gangs d’extorsion de données dans des e-mails et ont prétendu être les auteurs de l’intrusion, volant des centaines de gigaoctets de données importantes.
Dans un e-mail adressé à l’employé d’une société holding de l’industrie des additifs pétroliers, l’auteur de la menace prétendait être le Silent Ransom Group (SRG) – une scission du syndicat Conti axée sur le vol de données et l’extorsion de la victime, également connue sous le nom de Luna Papillon.
Le même message, cependant, utilisait dans la ligne d’objet le nom d’un autre acteur de la menace, le groupe de rançongiciels Surtr, vu pour la première fois chiffrer les réseaux d’entreprise en décembre 2021.
Breachtrace a trouvé un autre e-mail de Midnight Group, affirmant qu’ils étaient les auteurs de la violation de données et qu’ils avaient volé 600 Go de « données essentielles » sur les serveurs.
Les messages ont été envoyés à l’adresse d’un planificateur financier senior qui avait quitté l’entreprise cible plus de six mois auparavant.
Menace DDoS en attente
Un rapport publié fin mars par la division de détection et de réponse gérées de la société d’enquête et de conseil en gestion des risques Kroll note que certains expéditeurs d’e-mails similaires ont également été menacés d’attaques DDoS.
Les enquêteurs de Kroll affirment qu’à partir du 23 mars, les organisations ont commencé à déposer un nombre accru de rapports pour les e-mails reçus sous le nom de Silent Ransom Group.
C’est « une nouvelle vague de fausses tentatives d’extorsion », déclarent les intervenants de Kroll dans le rapport, ajoutant que les auteurs utilisent les noms de cybercriminels plus connus pour tenter d’intimider et de légitimer la menace.
« Cette méthode est bon marché et facile à utiliser par des attaquants peu qualifiés. Tout comme les escroqueries 419 wirefraud, l’escroquerie s’appuie sur l’ingénierie sociale pour extorquer les victimes en faisant pression sur la victime pour qu’elle paie avant une date limite. Nous nous attendons à ce que cette tendance se poursuive indéfiniment en raison de sa rentabilité et de sa capacité à continuer à générer des revenus pour les cybercriminels » – Kroll
Kroll a été témoin de tels incidents depuis 2021, bien que cette activité ait commencé début novembre 2019, lorsque des victimes non payantes ont également subi des attaques DDoS.
Néanmoins, les attaques étaient des DDoS de bas niveau et s’accompagnaient de la menace d’attaques plus importantes à moins que les extorqueurs ne soient payés.
De tels incidents font écho à l’activité d’un groupe d’extorsion qui, en 2017, a envoyé des menaces DDoS à des milliers d’entreprises sous les noms de groupes de pirates infâmes à l’époque (par exemple, New World Hackers, Lizard Squad, LulzSec, Fancy Bear et Anonymous).
Cibler les victimes d’attaques de rançongiciels
Un autre rapport de la société de réponse aux incidents Arete confirme les observations de Kroll concernant les e-mails frauduleux de Midnight Group se faisant passer pour Surtr et SRG et le plus grand nombre de messages livrés dans les semaines précédant le 24 mars.
Cependant, sur la base de leur visibilité, les intervenants ont observé que Midnight ciblait des organisations qui avaient déjà été victimes d’une attaque de ransomware.
Selon les analystes d’Arete, parmi les attaquants initiaux figurent QuantumLocker (actuellement rebaptisé DagonLocker), Black Basta et Luna Moth.
Arete dit qu’au moins 15 de leurs clients actuels et précédents ont reçu de fausses menaces du Midnight Group, qui a soutenu leurs allégations de vol de données avec de vagues détails.
On ne sait pas comment les victimes sont sélectionnées, mais une possibilité provient de sources accessibles au public, telles que le site de fuite de données de l’attaquant initial, les médias sociaux, les reportages ou les divulgations de l’entreprise.
Cependant, Arete note que le faux attaquant a identifié certaines victimes de rançongiciels même lorsque les informations n’étaient pas accessibles au public, indiquant peut-être une collaboration avec les intrus initiaux.
Les acteurs du ransomware vendent souvent les données qu’ils volent aux victimes même lorsqu’ils sont payés. Si Midnight Group a accès aux marchés et aux forums où ces données sont échangées ou vendues, ils pourraient en savoir plus sur les victimes de ransomwares qui n’ont pas encore divulgué la cyberattaque.
Menaces vides depuis 2019
L’escroquerie d’extorsion de Midnight Group n’est pas nouvelle. La tactique a été observée en 2019 par la société de réponse aux incidents de ransomware Coveware qui l’appelle Phantom Incident Extortion.
Coveware explique que l’acteur de la menace essaie de donner de la crédibilité à la menace en utilisant des données uniques à la cible du destinataire, ajoute la pression d’un résultat coûteux et exige un paiement bien inférieur aux dommages de l’exposition publique.
Ces trois composants sont les piliers d’un incident fantôme d’extorsion (PIE) et une indication claire d’une menace vide.
Coveware a initialement fourni quatre exemples d’escroqueries PIE et n’a mis à jour le rapport que récemment avec un exemple d’e-mail du Midnight Group.
Les trois sociétés estiment que les menaces de Midnight Group font partie d’une campagne de fraude. La tentative d’Arete de s’engager avec l’acteur n’a abouti à aucune réponse ni preuve de vol de données de l’acteur.
La recommandation est d’analyser attentivement ces e-mails pour reconnaître les composants d’un message d’extorsion d’incident fantôme et les rejeter comme une menace vide.