La pandilla falsa "DarkSide" apunta a los sectores de energía y alimentos globales - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La pandilla falsa «DarkSide» apunta a los sectores de energía y alimentos globales

Hola otra vez. Yo soy Eduardo Arroyo y en esta ocasión hablaremos sobre La pandilla falsa «DarkSide» apunta a los sectores de energía y alimentos globales

La pandilla falsa «DarkSide» apunta a los sectores de energía y alimentos globales

Un doppelganger de DarkSide ejecuta una campaña de fraude destinada a extorsionar casi $ 4 millones de cada objetivo.

Varias organizaciones de las industrias del petróleo, el gas y la alimentación han recibido correos electrónicos amenazadores de ciberdelincuentes que se hacen pasar por DarkSide, la banda de ransomware detrás del hack de Colonial Pipeline.

Según los investigadores de Trend Micro, los actores de amenazas se están aprovechando de la notoriedad del incidente del ransomware en canalización y del nombre DarkSide, para organizar una campaña de ingeniería social basada en el miedo.

Los correos electrónicos advierten a los objetivos que el grupo ha violado con éxito la red corporativa del destinatario y ha recopilado información confidencial, que se divulgará públicamente si no se paga un rescate de 100 Bitcoin (BTC). Eso es alrededor de $ 3.8 millones, dado el tipo de cambio al momento de la publicación.

Esto de alguna manera encaja con el libro de jugadas de doble extorsión de DarkSide, sin embargo, no todo es lo que parece, según Trend Micro.

«El contenido utilizado en los correos electrónicos nos hizo creer que no provenían del grupo de amenazas mencionado anteriormente, sino de un atacante oportunista de bajo nivel que intenta aprovechar la situación actual en torno a las actividades del ransomware DarkSide», dijeron los investigadores., En a Entrada de blog del jueves.

Por ejemplo, DarkSide generalmente ofrece pruebas de que ha obtenido datos confidenciales robados, señalaron los investigadores, pero esas garantías no se proporcionan en la reciente serie de campañas. Además, aunque los estafadores afirman ser una banda de ransomware, no hay cifrado de ningún archivo u otro contenido en las supuestas redes de «víctimas».

Luego hay un error de atribución de novato: los correos electrónicos mencionan ataques anteriores de DarkSide que han aparecido en los titulares en los últimos tiempos e incluyen al gigante de la industria cárnica JBS como víctima. Sin embargo, ese golpe no fue obra de DarkSide, sino que se atribuyó a REvil (también conocido como Sodinokibi).

El correo electrónico de extorsión. Fuente: Trend Micro.

También vale la pena señalar que DarkSide generalmente exige entre $ 200,000 y $ 2 millones según informes anteriores, no los casi $ 4 millones solicitados en correos electrónicos recientes.

«En general, esta campaña parece amateur en comparación con las actividades anteriores conocidas de DarkSide», según Trend Micro. «Creemos que a la mayoría de las empresas no se les pedirá que paguen esa cantidad sin mostrar ninguna evidencia real de que la red se ha visto comprometida y que los datos confidenciales están a punto de filtrarse al público».

Trend Micro señaló que los correos electrónicos alcanzan algunos objetivos todos los días, a partir del 4 de junio. Los mensajes se enviaron a direcciones de correo electrónico genéricas dentro de las organizaciones (por ejemplo, direcciones como «support @[companyname].com «o similar). Los correos electrónicos del remitente son darkside @ 99email[.]xyz y darkside @ solpatu[.]espacio.

La billetera Bitcoin al final del correo electrónico es siempre la misma para cada objetivo, según el análisis.

La compañía también señaló que el mismo atacante también llenó formularios de contacto en los sitios web de diferentes compañías, enviando el mismo contenido a través del formulario web incluido en los correos electrónicos.

«En un caso, pudimos obtener la dirección IP del remitente, 205[.]185[.]127[.]35, que parece ser un nodo de salida de la red Tor «, dijeron los investigadores.

La campaña lanzó una red amplia y global: golpeó más a Japón, seguido de varios otros países: Argentina, Australia, Canadá, India y Estados Unidos. El resto de los países afectados son China, Colombia, México, los Países Bajos, Tailandia y Reino Unido

Aun así, parece que el doppelganger de DarkSide es sorprendente, probablemente debido a la falta de cifrado y detalles cuestionables del correo electrónico: «En el momento de escribir este artículo, las billeteras antes mencionadas no han recibido ni enviado ningún pago de Bitcoin», dijeron los investigadores. “No se han rastreado ataques reales hasta los correos electrónicos y no se han identificado nuevos objetivos.

«Sin embargo, esto no elimina la posibilidad de que un atacante con métodos más creíbles pueda atrapar objetivos con éxito», advirtieron los analistas.

Según los datos de telemetría, parece que el actor de la amenaza se está enfocando con un enfoque similar al de un láser en las industrias de energía y alimentos, con todos los objetivos incluidos en estos sectores, anotaron los investigadores. El pensamiento probable detrás de esto es que lo que está en juego es simplemente mayor para estas organizaciones.

Objetivos por sector. Click para agrandar. Fuente: Trend Micro.

«Se espera que estas industrias proporcionen bienes y / o servicios esenciales a diario», según el análisis de Trend Micro. “Cuanto más tiempo no se frustra el ataque y posteriormente se interrumpen las operaciones de las empresas, más ganancias y reputación pierde la organización afectada. El cierre de estos servicios también podría generar pánico y pánico en la opinión pública, sobre todo cuando afecta potencialmente a un gran número de personas ”.

Y así, la lógica sigue que este tipo de empresas tendrán más probabilidades de sucumbir a los intentos de extorsión.

«Si bien el resto de la campaña muestra técnicas torpes, vale la pena señalar que el atacante seleccionó deliberadamente empresas en industrias específicas por una razón», según Trend Micro. «A partir de entonces, el impacto de un ataque podría despertar temores de seguridad alimentaria y / o energética, provocando compras de pánico ya que el público se preocupa por los posibles picos de precios que podrían ser causados ​​por el ataque».

Los sectores de energía y alimentos se encuentran entre los más atacados por ciberdelincuentes de todo tipo, incluidas las bandas de ransomware, agregó la compañía, pero no hace falta decir que las organizaciones siempre deben verificar la validez de cualquier amenaza antes de lanzarla. una amenaza Advertencia.

.

Puedes compartir en una historia de tu Instagram para que tus amigos lo lean

??? ? ? ???

Comparte