Bedrijven die slachtoffer zijn de Akira- en Royal-ransomware krijgen te maken met extra pogingen tot afpersing. De toegepaste methodes bij de ‘follow-on extortion campagne’ zijn vrij uniek.
Dat constateren onderzoekers van Arctic Wolf. De slachtoffers kregen bij de nieuwe extortion-poging zogenaamd hulp aangeboden. “Dit is het eerste gepubliceerde exemplaar van een threat actor die zich voordoet als een legitieme beveiligingsonderzoeker en aanbiedt om gehackte gegevens van een afzonderlijke ransomwaregroep te verwijderen”, aldus Arctic Wolf.
Akira en Royal
De securityonderzoekers identificeerden twee afzonderlijke gevallen van de follow-on extortion-tactiek. Zo werd begin november een Akira-slachtoffer benaderd door ‘xanonymoux’. Deze kwaadwillende stelde toegang te hebben tot een server waarop Akira geëxfiltreerde data hostte. Opvallend was dat Akira zelf, een aantal weken voor de mail van xanonymoux, stelde geen data van het slachtoffer te hebben geëxfiltreerd. Akira zou enkel systemen hebben versleuteld.
Xanonymoux bood het slachtoffer twee opties aan: de data van het slachtoffer verwijderen of het slachtoffer toegang geven tot de server. Daarnaast beweerde xanonymoux dat Akira gelinkt is aan Karakurt, de groep die data-exfiltratie en -extortion toepast.
Bij het Royal-slachtoffer liepen de zaken wat anders. Begin oktober kreeg het een mail van Ethical Side Group, waarin men beweerde toegang te hebben tot de data geëxfiltreerd door Royal. De hackersgroep Royal claimde in de oorspronkelijke onderhandelingen met het slachtoffer juist data verwijderd te hebben. ESG stelde in de emailcommunicatie zelfs dat de originele hack kwam van de TommyLeaks-groep in plaats van Royal. Uiteindelijk stelde ESG aan het slachtoffer voor de serverinfrastructuur van Royal te hacken en de data te verwijderen.
Het is niet exact bekend wie er achter de nieuwe aanvallen zit.
Tip: Kwetsbaarheid in Black Basta-ransomware maakt ontsleutelen mogelijk