Alla scoperta di Donut Leaks, un nuovo sito per pubblicazione di dati esfiltrati da ransomware

Appare un nuovo sito Web utilizzato dai criminali informatici per diffondere il materiale rubato dalle vittime, tramite l’utilizzo di diversi ransomware. Non si sa se corrisponda ad un nuovo gruppo ransomware, ma per ora sembra collegato a gruppi RaaS esistenti

È stato identificato il collegamento di un nuovo gruppo di ransomware con i recenti attacchi informatici alla società greca di gas DESFA, allo studio di architettura britannico Sheppard Robson e al conglomerato edile internazionale Sando.

Ho già parlato di come Ragnar Locker ha rivendicato l’attacco a DESFA fornendo al pubblico screenshot di presunti dati rubati e il mese scorso il ransomware Hive ha affermato di aver attaccato Sando pubblicando solo un piccolo archivio di file come prova.

All’inizio di questo mese, Sheppard Robson ha segnalato un attacco utilizzando un ransomware, ma non ha mai fornito dettagli sull’incidente.

Stranamente, i dati su queste vittime sono ora presenti nel DLS di dati Donut Leaks precedentemente sconosciuto.

Data Leaks Site di Donut

Allo stesso tempo, i dati da loro annunciati sono molto più ampi di quelli dei loro colleghi che hanno rivendicato gli incidenti.

Donut Leaks si è manifestato subito dopo il furto di dati inviando via e-mail gli URL dei loro siti sotto rete Tor ai partner commerciali e ai dipendenti della vittima.

Le risorse includono un sito di leaks di dati (DLS) e un sito di archiviazione dati che consente ai visitatori di visualizzare e scaricare tutti i dati rubati.

Sito di archiviazione dei dati – Donut

Il DLS finora contiene menzioni di cinque vittime, tutte contenenti una descrizione generale dell’azienda e un collegamento ai loro dati rubati, tranne una, in relazione alla quale gli hacker hanno fatto trapelare una foto di una festa con commenti incisivi su l’azienda.

Allo stesso tempo, il server del data warehouse ospita circa 2,8 TB di dieci vittime.

Non è ancora noto se Donut Leaks crittografa le loro vittime, ma il comportamento delle vittime sembrerebbe indicarlo.

I ricercatori suggeriscono che l’attore dietro Donut Leaks è molto probabilmente l’operatore di Hive, Ragnar Locker e forse altri Ransomware-as-a-Services messi insieme.

La situazione mostra chiaramente che i dati rubati di solito finiscono nelle mani di diversi gruppi, ognuno dei quali cerca di utilizzare i propri metodi di estorsione e monetizzazione.

Pertanto, è del tutto appropriato che anche i “meno avari” siano costretti a pagare due, e forse anche tre volte la somma del riscatto.