Karanlık, kukuletalı figürlerin ve 8 bitlik kafatası ve kemik grafiklerinin olduğu günler geride kaldı; fidye yazılımı grupları, kurbanlara ödeme yapma baskısını artırma avantajıyla birlikte giderek daha açık, yarı kurumsal bir medya stratejisi benimsiyor. onlara.
Gibi Sophos X-Ops bir raporda özetlendi Royal, the Play ve RansomHouse gibi kötü şöhrete sahip gruplar bu hafta gazetecilerle giderek daha fazla etkileşime geçiyor. Bu ilişki şüpheli ama karşılıklı olarak faydalıdır: Muhabirler doğrudan (güvenilmez de olsa) birincil kaynaklardan bilgi alırken, bilgisayar korsanları kurbanlarını açığa çıkarır veya bazı yüksek profilli vakalarda kayıtları düzeltir.
Sophos X-Ops’un tehdit istihbaratı direktörü Christopher Budd, “Bu onların gerçek hackerlar olduğunu gösteriyor” diyor. “Şimdi teknik alanın yanı sıra bilgi alanını da hacklemeye çalışıyorlar.”
Kurumsal Kıyafetlerdeki Siber Suçlular
Fidye yazılımı grupları günümüzde yalnızca kurbanlar için değil, doğrudan iletişim kanalları da sunuyor. Halkla ilişkiler odaklı Telegram kanalları ve standart ücretli “Bize Ulaşın” formlarının yanı sıra bunları destekleyecek yararlı bilgiler ve SSS’ler de mevcuttur.
Buradaki asıl fikir, fidye yazılımı aktörlerinin, istismarlarını haberlerde yayınlayarak, kurbanları üzerinde kamuoyunun yanı sıra tedarikçilerinin, müşterilerinin vb. baskısına da davetiye çıkarmasıdır.
Fidye notlarında bu kadarı ima edilir veya sıklıkla özellikle vurgulanır. Örneğin, Sophos kısa süre önce, fidye son tarihi karşılanmadığı takdirde “internetteki karanlık ağ suçlularından… gazetecilerden… ve hatta çalışanlarınızın dahili belgelerinizi görebileceğini” ifade eden bir Royal fidye notu gözlemledi.
Bu tür taktiğin aşırı bir örneği, bir ay önce ALPHV grubunun (diğer adıyla BlackCat) ABD Menkul Kıymetler ve Borsa Komisyonu’na kurbanının fidye yazılımı saldırısını yeni önerilen veri aralığı içinde bildirmediğini öne süren resmi bir şikayette bulunmasıyla ortaya çıktı. ifşaatların ihlali. Bu yeni kurallar o sırada henüz yürürlükte değildi, ancak dublör kesinlikle manşetlere çıktı.
Haber kapsamının başka zincirleme faydaları da var. Egoyu artırmanın yanı sıra, The Play gibi bir grubun sızıntı sitesinde Dark Reading haberlerine bağlantı vermesi, ona güvenilirlik kazandırır ve kurbanlara kendilerinin gerçek olduğu izlenimini verir.
The Play tarafından yeniden yayınlanan Dark Reading makalesi (Kaynak: Sophos X-Ops)
Analist Kıyafetindeki Saldırganlar
Tüm fidye yazılımcıları medyayla aynı ciddiyetle karşılaşmıyor. Cl0p ve LockBit gibi kötü şöhretli gruplar son zamanlarda dış dünyayla daha düşmanca ilişkiler kurmaya başladı.
Bazen önemsiz veya yapmacık bir tavır olarak ortaya çıksa da, diğer zamanlarda bu çatışmalar bile bir dereceye kadar profesyonellik ile ele alınır.
Örneğin, yanıt olarak MGM saldırısıyla ilgili hatalı olduğu iddia edilen bilgiler içeren ilk raporlarALPHV 1.300 kelimelik bir bildiri yayınladı. “Yetkilerini öne sürmeye ve iddialarını kabul etmeye çalışırken, aslında güvenlik şirketlerinin yaptığı türden tehdit araştırması niteliğindeki şeyleri yayınladılar. Ve yaptıkları eylemler hakkında oldukça nesnel, ayrıntılı teknik açıklamalar sundular.” açıklıyor.
“Yayınlayacağımız bir şeye benziyor” diye ekliyor. “Güvenlik alanında günlük olarak kullandığımız bazı ilkeleri bilinçli olarak benimsiyorlar.”