Ransomware-Banden nutzen PR-Charme-Offensive, um Opfer unter Druck zu setzen

Vorbei sind die Zeiten düsterer, vermummter Gestalten und 8-Bit-Totenkopfgrafiken – Ransomware-Gruppen verfolgen zunehmend eine offenere, quasi-konzernorientierte Strategie gegenüber den Medien, mit dem zusätzlichen Vorteil, dass sie den Zahlungsdruck auf die Opfer erhöhen ihnen.

As Sophos X-Ops in einem Bericht beschrieben Diese Woche treten mehr und weniger berüchtigte Gruppen wie Royal, The Play und RansomHouse zunehmend mit Journalisten in Kontakt. Die Beziehung ist zweifelhaft, aber für beide Seiten vorteilhaft: Reporter erhalten Informationen direkt aus primären (wenn auch unzuverlässigen) Quellen, während Hacker ihre Opfer entlarven oder in bestimmten aufsehenerregenden Fällen die Aufzeichnungen korrigieren können.

„Das zeigt, dass es sich um echte Hacker handelt“, sagt Christopher Budd, Director of Threat Intelligence bei Sophos X-Ops. „Jetzt versuchen sie, sowohl die Informationssphäre als auch die technische Sphäre zu hacken.“

Cyberkriminelle in Firmenkleidung

Ransomware-Gruppen bieten heutzutage Kanäle zur direkten Kommunikation, nicht nur für Opfer. Es gibt PR-orientierte Telegram-Kanäle und standardisierte „Kontakt“-Formulare sowie ergänzend hilfreiche Informationen und FAQs.

Die große Idee besteht darin, dass Ransomware-Akteure durch die Veröffentlichung ihrer Exploits in den Nachrichten öffentlichen Druck auf ihre Opfer sowie Druck seitens ihrer Lieferanten, Kunden usw. ausüben.

So viel wird in Erpresserbriefen angedeutet oder oft ausdrücklich hervorgehoben. Beispielsweise hat Sophos kürzlich einen Royal-Lösegeldschein beobachtet, in dem es heißt, dass „jeder im Internet, ob Darknet-Kriminelle, Journalisten oder sogar Ihre Mitarbeiter, Ihre internen Unterlagen einsehen kann“, wenn die Lösegeldfrist nicht eingehalten wird.

Ein extremes Beispiel für diese Art von Taktik ereignete sich vor einem Monat, als die ALPHV-Gruppe (auch bekannt als BlackCat) eine offizielle Beschwerde bei der US-Börsenaufsichtsbehörde Securities and Exchange Commission einreichte und anführte, dass ihr Opfer es versäumt habe, seinen Ransomware-Angriff innerhalb des neu vorgeschlagenen Datenfensters zu melden Offenlegung von Verstößen. Diese neuen Regeln waren zu diesem Zeitpunkt noch nicht in Kraft, aber Der Stunt sorgte sicherlich für Schlagzeilen.

Die Berichterstattung hat darüber hinaus noch weitere Folgevorteile. Wenn eine Gruppe wie The Play auf ihrer Leak-Seite auf die Berichterstattung über Dark Reading verlinkt, steigert das nicht nur ihr Ego, sondern verleiht ihr auch Glaubwürdigkeit und vermittelt den Opfern den Eindruck, dass sie der echte Deal sind.

Screenshot des Links zum Dark Reading-Artikel, der von der Ransomware-Gruppe The Play erneut gepostet wurde

Ein von The Play erneut veröffentlichter Dark Reading-Artikel (Quelle: Sophos X-Ops)

Angreifer im Analystenkostüm

Nicht alle Ransomware-Anwender begegnen den Medien mit gleicher Leichtigkeit. Berüchtigte Gruppen wie Cl0p und LockBit sind in jüngster Zeit zu feindseligeren Bedingungen mit der Außenwelt in Kontakt gekommen.

Und während es manchmal kleinkariert oder gehässig daherkommt, werden auch diese Konflikte manchmal mit einem gewissen Maß an Professionalität gehandhabt.

Zum Beispiel als Antwort auf Erste Berichte enthielten angeblich falsche Informationen über den MGM-Angriff, ALPHV veröffentlichte eine 1,300 Wörter umfassende Erklärung. „Um ihre Autorität zu behaupten und ihren Anspruch geltend zu machen, haben sie tatsächlich etwas veröffentlicht, das einer Bedrohungsforschung gleichkommt – die Art von Dingen, die Sicherheitsunternehmen machen.“ Und sie lieferten eine ziemlich objektive, detaillierte technische Erklärung zu den von ihnen ergriffenen Maßnahmen“, erklärt Budd.

„Es liest sich wie etwas, das wir veröffentlichen würden“, fügt er hinzu. „Sie übernehmen bewusst einige der Prinzipien, die wir im Sicherheitsbereich täglich anwenden.“

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://www.darkreading.com/threat-intelligence/ransomware-gangs-pr-charm-offensive-pressure-victims

Generative Datenintelligenz

Ransomware-Banden nutzen PR-Charme-Offensive, um Opfer unter Druck zu setzen

Cyberkriminelle in Firmenkleidung

Angreifer im Analystenkostüm

Live-Berichterstattung: SpaceX startet 23 Starlink-Satelliten auf Falcon 9-Flug von Cape Canaveral aus

Drei Schlüssel für den Sieg der Inselbewohner im fünften Spiel

Neueste Intelligenz

Die Lakers erringen den ersehnten Sieg gegen Denver, liegen nun in Serie mit 3:1 zurück

Falcon 9 startet Galileo-Navigationssatelliten

Dogecoin- und Pepecoin-Enthusiasten versammeln sich hinter dem neuen KI-Token, der von der Wahoo Exchange Platform – CryptoInfoNet – eingeführt wurde

Lehren aus dem FTX-Prozess: Die Regulierung von CEXs reicht möglicherweise nicht aus, um schlechte Akteure zu verhindern | Meinung – CryptoInfoNet

Engineering Explained befasst sich mit den „Getrieben“ und anderen Leistungsmerkmalen des Ioniq 5 N – CleanTechnica

Gold könnte laut Analyst Benjamin Cowen gerade das Ende der Bitcoin (BTC)-Rallye signalisiert haben – Das meint er – The Daily Hodl