Кіберзлочинці використовували здирницькі ПО ONI для приховування складної таргетированной кампанії Night of the Devil ( «Ніч диявола») з використанням експлойтів Агентства національної безпеки США. Протягом декількох місяців атаки залишалися непоміченими, поки одного разу зловмисники не смикнули за ниточки і не зашифрували одночасно дані на сотнях комп'ютерів. Їх справжньою метою було не отримання викупу, а знищення слідів своєї присутності.
Кампанія була спрямована проти кількох організацій в Японії. Які проводили розслідування атак експерти з Cybereason прийшли до висновку, що за допомогою вимагача атакуючі намагалися знищити всі сліди операції і дані про атаки.
Шкідливий отримав свою назву по розширенню oni, додає їм до зашифрованих файлів і вказаною в вимозі викупу електронною адресою. У перекладі з японської ONI означає «Ніч диявола». Як з'ясували експерти, велика частина коду шкідливий була запозичена у здирницькі ПО GlobeImposter.
ONI вже неодноразово використовувався в атаках на японські організації, проте в останній кампанії дослідники виявили новий варіант - MBR-ONI, оснащений функціоналом буткіта. Вимагач працює на базі легітимного інструменту для шифрування диска DiskCryptor. І ONI, і MBR-ONI потрапляють на комп'ютери жертв через цілеспрямовані фішингові листи. Що міститься в листах шкідливий документ Office завантажує на систему інструмент для віддаленого доступу Ammyy Admin.
Потрапивши на систему, що атакується, зловмисники створювали карту внутрішніх мереж і збирали облікові дані. Просуватися по мережі їм допомагав експлоїт АНБ EternalBlue. Скомпрометувавши критичні активи, в тому числі контролер домену, хакери отримували повний контроль над мережею і могли викрадати будь-яку цікаву для них інформацію.
По завершенні операції кіберзлочинці запускали ONI і MBR-ONI для приховування своїх слідів. ONI відображає на зараженому комп'ютері записку з вимогою викупу і дозволяє розшифрувати файли.
Проте, на відміну від нього MBR-ONI не припускав надання ключа для дешифрування. Його головне призначення - знищення будь-яких свідчень шпигунської кампанії.
Використання здирницькі ПО для приховування кібершпіонскіх кампаній - вельми рідкісна практика. Проте, атаки на японські організації є прикладом появи нових тенденцій.
Буткіт - шкідливе ПО (так званий MBR-руткіт), модифікуючу завантажувальний сектор MBR - першого фізичного сектора на жорсткому диску.