Amatører slår plat på Darkside-hype

Social-engineering-kampagne forsøger at score bitcoins på aktuel dagsorden.

Flere organisationer inden for olie-, gas- og fødevaresektoren i verden har modtaget trusselsmails fra cyberkriminelle, der giver sig ud for at være fra DarkSide. Den ransomwaregruppe, der stod bag det hidtil mest alvorlige og kendte angreb på kritisk infrastruktur i USA. Det såkaldte Colonial Pipeline-hack.

Det skriver ThreatPost på baggrund af oplysninger fra sikkerhedsvirksomheden Trend Micro.

Der er tale om en svindelkampagne, der efter det oplyste sigter mod at afpresse næsten 4 millioner dollars fra hver de organisationer, der har modtaget mailen.

Social engineering mod store ofre

Ifølge researcherne fra Trend Micro forsøger trusselaktører at udnytte den frygt og opmærksomhed, der er skabt om Colonial Pipeline-hacket og DarkSide til at lave en social-engineering-kampagne, som måske kan kaste nogle penge af sig.

I e-mails advares modtagerne om, at gruppen med succes har hacket virksomhedsnetværket og fået adgang til følsomme oplysninger, som vil blive offentliggjort, hvis en løsesum på 100 Bitcoin (BTC) ikke betales. Det svarer pt. til små 4 mio dollar, hvilket svarer nogenlunde til den pris, som Colonial Pipeline betalte i løsesum, uden at det dog afhjalp syndeligt på retablering af systemerne.

Trend Micro er imidlertid af den overbevisning, at der tale om en aktivitet ’..fra en opportunistisk angriber på lavt niveau, der forsøger at drage fordel af den nuværende situation omkring DarkSide ransomware-aktiviteterne’. En indikation for dette ses bl.a. af, at der ikke føres bevis for, at den skulle have krypteret netværket, ligesom den nævner kødgiganten JBS som værende et andet af gruppens ofre; dette angreb blev imidlertid tilskrevet REvil (alias Sodinokibi), hvilket naturligvis ikke alle ved.

Endelig har DarkSide almindeligvis opkrævet mellem 200.000 og to millioner dollar og ikke de næsten 4 millioner, som det fremgår af de sete emails.

Kendt tendens

Ifølge Threatpost har kampagnen ramt virksomheder i Japan, Argentina, Australien, Canada, Indien og USA. De øvrige berørte lande inkluderer Kina, Colombia, Mexico, Holland, Thailand og Storbritannien.

At cyberkriminelle forsøger at slå plat på aktuelle dagsordener er en kendt sag og ses jævnligt. Fx sås det ved Black Lives Matter-demonstrationerne i USA, distributionen af coronasmitte-app i Storbritannien, Donald Trumps Covid-19-sygdom og i forbindelse med angrebet på kongressen i USA i starten af januar i år.

Læren er, at opstår der verdensomspændende hype omkring en aktuel dagsorden, vil der helt sikkert være plattenslagere, der forsøger at slå mønt af opmærksomheden. I sådanne tilfælde handler det om at være ekstra agtpågivende, når man får henvendelser ud fra den kontekst.

Links

https://threatpost.com/darkside-global-energy-food/167056/