Жертвите на рансъмуер пробиви вече не могат да се измъкват

Жертвите на рансъмуер пробиви към този момент не могат да се измъкват с изказвания, че „ няма компрометирани данни “ (снимка: CC0 Public Domain)

Киберпрестъпниците обичайно и разбираемо заобикалят публичността, само че през последните няколко години рансъмуер групите трансформираха традицията. Сега те интензивно ухажват медиите, като се стремят да въздействат и управляват потока от информация за своите действия, да оказват напън върху жертвите си и даже да притеглят нови членове за бандите си.

Някои от най-известните групи за киберизнудвания в света се пробват да се възползват от опциите, които може да им предложи положителната гласност, разкрива в нова „ бяла книга “ изследователският екип на Sophos. Явлението слага нови провокации за екипите по киберсигурност.

Началото на тази наклонност бе сложено с опитите на киберпрестъпниците да въздействат на осведомителното пространство по време на хаковете на казина в Лас Вегас през септември 2023 година, споделя Кристофър Бъд, шеф на екипа X-Ops на Sophos, пред английското издание Computer Weekly. Изглежда „ най-малко някои от тези групи желаят да работят освен в техническото пространство, само че и в осведомителното пространство “, споделя Бъд.

Анализаторите разкриват, че някои рансъмуер групи са „ следени по какъв начин дават на публицисти описи с постоянно задавани въпроси (ЧЗВ), разгласяват известия за пресата, предизвикват репортерите да се свързват с бандите, да оферират задълбочени изявленията … и даже да наемат англоговорящи създатели да пишат за тях “. Други представители на киберпрестъпността пък са видяни да подлагат на критика кореспонденти за това, че „ не са показали обстоятелствата вярно “.

Подобен метод предлага както тактическо, по този начин и стратегическо преимущество, споделя Бъд. Методът разрешава на бандите самодейно да оформят разказите в публичното пространство и да упражняват напън върху своите жертви. Същевременно злодеите „ раздуват личната си популярност и егото си и способстват за личните си тщеславни персонални митологии “. Но в последна сметка, съгласно анализаторите, задачата е елементарна и тя е да се подсигурява, че получават възнаграждение.
още по темата
„ В сегашния миг тези групи са добре проведени, те са всъщност бизнеси. Целта е да се вършат пари. Така че какво могат да сторят, с цел да вършат пари по-ефективно? “ пита Бъд. „ Законните компании от дълго време са разбрали, че има тактики в осведомителното пространство, които оказват помощ да се увеличи тяхната видимост, да се усили осведомеността за марката и да се стимулират хората да се ангажират с дадения артикул. Е, всичко това е използвано и за бизнеса на киберпрестъпниците “.

Една тактичност, която легалните компании ползват в работата си с медиите, е да се пробват да управляват разказите и сюжетните линии. Бандите за рансъмуер също ползват този способ.

„ По време на офанзивите в Лас Вегас групата, която стои зад пробивите, отвърна на това, което те разказват като „ неопределено отразяване от някои издания “. Тя разгласява статия…, обясняваща по какъв начин тъкмо са хакнали системите на жертвата. По своя механически обсег това пълнометражно произведение съперничи на всичко, което може да бъде основано от законен екип за проучване на закани “, споделя Бъд. „ Те предоставиха обява вид изследване, която в доста връзки отразява вида изявления, каквито моят екип прави и каквито вършат и други компании за киберзащита. Предполага се, че ходът е съзнателна акция на проявление, че създателите на нападението доста добре „ знаят защо приказват “. Подобна информационна тактичност има смисъл, показвайки сериозността на нападението и утвърждавайки „ контрола върху разказа в осведомителното пространство “.

За експертите, които се занимават със отбраната на комплицирани ИТ инфраструктури в легалните организации, медийното активизиране на кибербандите е ново предизвикателство. Традиционно екипите по ИТ сигурността правят работа, която е „ невидима “ даже са личните им сътрудници, а още по-невидима за крайните клиенти. Но в този момент битката към този момент не е единствено на техническата сцена. Тя обгръща и осведомителната сфера. А експертите по сигурността, които не са специалисти по връзки с обществеността, може да открият, че не са добре готови да реагират медийно.

Организациите-жертви към този момент не могат да разчитат на това, че са единственият източник на истина за хакерската атака. Техният нападател е подготвен да приказва изцяло намерено за дейностите си. Следователно организациите към този момент не могат да се измъкват с изказвания, гласящи, че „ няма компрометирани данни “ – нападателите могат елементарно да изобличат сходен опит за прикриване, доказвайки, че е лъжовен PR.

„ Това на процедура значи, че в случай че сте организация, в която се с случил пробив, нямате способността да контролирате разказа в общественото пространство. Става доста по-сложно, в случай че кажете, че не сте били пробити, тъй като нападателите имат подготвеност да кажат „ не, в действителност вие бяхте пробити и ето го доказателството “, изяснява Бъд.

Излиза, че организациите, като част от своето обмисляне за реагиране при киберинциденти, към този момент се нуждаят освен от положителни проекти за механически ограничения, само че и от положителни информационни тактики.