Hackersgroep verspreidt ransomware via neppe vacatures

De hackersgroep is in ieder geval sinds augustus 2023 actief, aangezien dat het eerste moment is dat er activiteit van de groepering is opgedoken, schrijft The Register. De groepering werkt met een breed scala aan tactieken om data te stelen en ransomware te installeren bij zijn doelwitten.

Eén van de tactieken is om via zogenaamde vacatures op LinkedIn, Telegram en freelanceplatformen malafide apps te delen. Via de apps - PuTTY en SumatraPDF - worden aanvullende payloads geïnstalleerd en krijgen criminelen toegang tot systemen om vervolgaanvallen uit te voeren. Ook reageren de criminelen op vacatures bij diverse legitieme bedrijven, in de hoop toegang te krijgen tot dergelijke organisaties. Nog weer een andere tactiek is om neppe organisaties op te zetten om een relatie op te bouwen met een echte organisatie. Dat gebeurt vooral bij doelwitten in softwareontwikkeling en hoger onderwijs. 

Daarnaast wordt de groepering gelinkt aan de inzet van een nieuwe vorm van ransomware, genaamd FakePenny. Deze ransomware werd bij een aanval in april ingezet, waarbij een niet-genoemd bedrijf gespecialiseerd in defensietechnologie werd gecompromitteerd. Moonstone Sleet wist in december 2023 al bij het bedrijf binnen te dringen en inloggegevens en intellectueel eigendom te stelen, maar zette pas in april de ransomware in om bestanden te versleutelen en losgeld te eisen.