Биткоин-вымогатели атакуют США с российских IP-адресов

Москва, 21:45, 14 Дек 2018, редакция FTimes.ru, автор Сергей Кузнецов.

Организации по всем Соединенным Штатам сегодня находятся в напряжении после того, как в четверг поток угроз обрушился на университеты, школы и новостные агентства. Злоумышленники распространяли электронные письма, в которых утверждалось, что в здании получателя размещены взрывчатые вещества. В письмах говорилось, что злоумышленники подорвут эту взрывчатку, если жертва не внесет биткоин платеж в размере нескольких тысяч долларов.

Cisco Talos обнаружила, что эта кампания на самом деле представляет собой эволюцию атак крипто вымогательства. Утверждения в электронных письмах являются полностью ложными, однако они нанесли неисчислимый ущерб, поскольку организации эвакуировали людей из зданий и призвали правоохранительные органы провести расследование.

Что делает эти конкретные сообщения о вымогательстве уникальными из других мошеннических действий, так это то, что ранее злоумышленники угрожали только индивидууму — угрожая раскрыть конфиденциальные данные или даже физически атаковать получателя, но никогда не поступали угрозы нанести вред большей группе людей и, конечно, не угрозы взрыва бомбы.

Было обнаружено 17 разных биткоин кошельков, которые использовались при атаке вымогателей. Только два кошелька имеют положительный баланс, обе из транзакций получены 13 декабря, в день распространения писем с угрозами. Однако суммы каждой транзакции были меньше 1 доллара, поэтому очевидно, что жертвы отказались платить цену вымогательства в размере 20 000 долларов, требуемую злоумышленниками.

До сих пор все образцы писем, которые связаны с угрозой взрыва бомб, были отправлены с IP-адресов, принадлежащих регистратору доменов и хостинговой компании reg.ru, что говорит о том, что злоумышленники в этом случае могли скомпрометировать учетные данные для доменов, которые размещены у этого конкретного доменного регистратора. Несколько IP-адресов, участвующих в отправке этих террористических угроз, также отправляли электронные письма, в которых утверждается, что преступники имеют интимное видео жертвы, и опубликуют их, если злоумышленник не получит биткоин платеж.

По состоянию на вчерашний день атака по электронной почте с угрозой взрыва трансформировалась. Злоумышленники вернулись к своим пустым угрозам причинения вреда отдельным получателям. На этот раз они угрожают облить жертву кислотой.

Пока что ни один из биткоин кошельков, связанных с этими электронными письмами, не получил никаких платежей. Однако источник отправляющих IP-адресов изменился. На этот раз злоумышленники активно используют IP-адреса российской хостинговой компании TimeWeb. Как и в случае с угрозами взрыва, эти IP-адреса принадлежат доменам, которые злоумышленники, вероятно, взломали.

Преступники, осуществляющие эти вымогательства по электронной почте, продемонстрировали, что они готовы выдумать любую возможную угрозу и историю, которые, по их мнению, могут обмануть получателя. На данный момент отмечено несколько различных вариантов этих электронных писем, и ожидается, что подобные атаки будут продолжаться до тех пор, пока найдутся жертвы, которые полагая, что эти угрозы заслуживают доверия, будут достаточно напуганы, чтобы отправить деньги злоумышленникам.

Talos призывает пользователей не поддаваться на эти схемы и, прежде всего, НЕ оплачивать вымогательства. Это только подтвердит для атакующих, что их подход социальной инженерии работает, и деньги жертв пойдут на содействие дополнительным атакам.