Ransomware-Banden: Wenn das Ego auf dem Spiel steht
Die Welt der Cyberkriminalität hat sich professionalisiert. Sie umfasst nicht nur Arbeitsteilung, Rekrutierung über das Darknet und benutzerfreundliche Malware-Baukästen. Offenbar ist für Kriminelle auch Öffentlichkeitsarbeit ein wichtiger Bestandteil, um sich von der Konkurrenz abzuheben und ihre Leistungen angemessen zu präsentieren. Forscher haben jüngste PR-Aktionen von Ransomware-Gruppen genauer unter die Lupe genommen.
Der jüngste Hackerangriff auf das MGM-Casino in Las Vegas, bei dem die Ransomware-Gruppe Black Cat öffentlich darauf hinwies, dass die Medien den Hack fälschlicherweise der Gruppe Scattered Spider zugeschrieben hatten, hat die Interaktion zwischen Ransomware-Banden und den Medien ins Rampenlicht gerückt. Sophos X-Ops hat bei genauerer Betrachtung des Darknets und verschiedener Ransomware-Leak-Sites festgestellt, dass dies kein isolierter Vorfall war: Ransomware-Gruppen suchen vermehrt die Medien, um ihre Bekanntheit zu steigern und Druck auf ihre Opfer auszuüben.
Um dies zu erreichen, nutzen sie verschiedene Strategien, um direkten Kontakt mit den Medien aufzubauen. Die Forscher von Sophos fanden auf Ransomware-Leakseiten spezielle Telegram-Kanäle und Kontaktformulare für Presseanfragen, FAQs für Medien sowie spezielle Angebote für eine mögliche Zusammenarbeit mit Journalisten. Sophos X-Ops stieß sogar auf Stellenanzeigen für englischsprachige Autoren in kriminellen Foren, möglicherweise für die Erstellung von Blogbeiträgen über ihre Angriffe, die in Mainstream-Medien hervorgehoben werden könnten.
Christopher Budd, Director Threat Research bei Sophos, äußerte sich dazu: „Ransomware-Angreifer konzentrieren sich nicht mehr nur auf das Hacken von Netzwerken und Systemen – sie versuchen, die öffentliche Meinung zu beeinflussen. Wir haben dies bei Hacks wie dem MGM-Vorfall und den MOVEit-Angriffen von Cl0P gesehen, als die Gruppe versuchte, vermeintliche Fehler in der Medienberichterstattung über ihre Angriffe zu ‚korrigieren‘. Für diese Cyberkriminellen bietet die Zusammenarbeit mit der Presse mehrere Vorteile. Es steigert nicht nur ihr Ego und ihre Bekanntheit, sondern macht sie auch attraktiver für potenzielle Kriminelle. Außerdem hat es sich als effektive Methode erwiesen, um Druck auf die Opfer auszuüben.
Es ist wahrscheinlich, dass Ransomware-Gruppen in Zukunft noch direkter und häufiger mit den Medien interagieren werden. Interessanterweise haben wir festgestellt, dass einige Gruppen wie Cl0P und Royal Pressemitteilungen nutzten, um ihre Aktivitäten in ‚Sicherheitsdienste‘ umzubenennen. Dies könnte eine Rekrutierungsstrategie oder der Versuch sein, ihr öffentliches Image zu verbessern. Trotzdem zeigt es die konzentrierten Bemühungen dieser Bedrohungsgruppen, die öffentliche Meinung zu beeinflussen. Für Verteidiger ist es wichtig, nicht auf ihren Wunsch nach Aufmerksamkeit einzugehen. Wir müssen uns auf die Abwehr der Angriffstaktiken, -techniken und -verfahren konzentrieren, um die Sicherheitsmaßnahmen der Unternehmen zu stärken, anstatt uns darauf zu konzentrieren, wer hinter dem Angriff steckt.“
Weitere Informationen und Beispiele zu diesem Thema finden sich im englischsprachigen Blogbeitrag von Sophos X-Ops.