Эти хакеры не требуют выкуп – они пиарят свои соцсети

Эксперты ИБ-компании Cyble обнаружили новую политически мотивированную группировку BlackMagic, которая предположительно связана с Ираном и нацелена на компании в Израиле.

По словам аналитиков Cyble, группа вымогателей использует метод двойного вымогательства – сначала извлекает файлы жертвы, а затем шифрует их. У BlackMagic на счету более 10 компаний-жертв, все они из Израиля, но иранского происхождения.

Примечательно, что записка с требованием выкупа не содержит информации о самом выкупе. Вместо этого хакеры указывают свои соцсети, используемые для раскрытия данных жертвы. Это означает, что группа вымогателей заинтересована в продаже похищенных данных, а не в получении выкупа от своих жертв.

Записка группировки BlackMagic

BlackMagic заявляет, что украла 50 ГБ данных у транспортных компаний в Израиле, а также конфиденциальные данные более 65% граждан страны. По словам исследователей, хакеры продают украденные данные на нескольких киберпреступных форумах. Также злоумышленники «дефейсят» сайт жертвы.

Сайт жертвы после «дефейса»

«Уничтожаем логистические компании и предотвращаем отправку посылок», — говорится в заявлении BlackMagic в даркнете.

Также в процессе шифрования данных злоумышленники помещают записку с требованием выкупа во все папки целевой системы, а затем добавляют к файлам расширение «.BlackMagic».

После этого хакеры создают BAT-файл на диске С, который удаляет все следы после шифрования данных. BAT-файл также заменяет фон рабочего стола скомпрометированного устройства на картинку, которая, вероятно, является логотипом BlackMagic. На картинке размещены логотипы предыдущих жертв группировки.

Картинка BlackMagic на рабочем столе очередной жертвы

Основываясь на деятельности BlackMagic, эксперты подозревают, что хакеры политически мотивированы, но неясно, как они будут развиваться в будущем.

Источник