Жертвите на рансъмуер пробиви вече не могат да се измъкват с изявления, че „няма компрометирани данни“ (снимка: CC0 Public Domain)
Киберпрестъпниците традиционно и разбираемо избягват публичността, но през последните няколко години рансъмуер групите промениха традицията. Сега те активно ухажват медиите, като се стремят да влияят и контролират потока от информация за своите дейности, да оказват натиск върху жертвите си и дори да привличат нови членове за бандите си.
Някои от най-известните групи за киберизнудвания в света се опитват да се възползват от възможностите, които може да им предложи добрата публичност, разкрива в нова „бяла книга“ изследователският екип на Sophos. Явлението поставя нови предизвикателства за екипите по киберсигурност.
Началото на тази тенденция бе поставено с опитите на киберпрестъпниците да влияят на информационното пространство по време на хаковете на казина в Лас Вегас през септември 2023 г., казва Кристофър Бъд, директор на екипа X-Ops на Sophos, пред британското издание Computer Weekly. Изглежда „поне някои от тези групи искат да работят не само в техническото пространство, но и в информационното пространство“, казва Бъд.
Анализаторите разкриват, че някои рансъмуер групи са „наблюдавани как предоставят на журналисти списъци с често задавани въпроси (ЧЗВ), публикуват съобщения за пресата, насърчават репортерите да се свързват с бандите, да предлагат задълбочени интервюта … и дори да наемат англоговорящи автори да пишат за тях“. Други представители на киберпрестъпността пък са забелязани да критикуват репортери за това, че „не са представили фактите правилно“.
Подобен подход предлага както тактическо, така и стратегическо предимство, казва Бъд. Методът позволява на бандите проактивно да оформят наративите в общественото пространство и да упражняват натиск върху своите жертви. Същевременно злодеите „раздуват собствената си известност и егото си и допринасят за собствените си тщеславни лични митологии“. Но в крайна сметка, според анализаторите, целта е проста и тя е да се гарантира, че получават заплащане.
„В настоящия момент тези групи са добре организирани, те са по същество бизнеси. Целта е да се правят пари. Така че какво могат да сторят, за да правят пари по-ефективно?“ пита Бъд. „Законните фирми отдавна са разбрали, че има тактики в информационното пространство, които помагат да се повиши тяхната видимост, да се увеличи осведомеността за марката и да се мотивират хората да се ангажират с дадения продукт. Е, всичко това е приложимо и за бизнеса на киберпрестъпниците“.
Една тактика, която легалните фирми прилагат в работата си с медиите, е да се опитват да контролират разказите и сюжетните линии. Бандите за рансъмуер също прилагат този метод.
„По време на атаките в Лас Вегас групата, която стои зад пробивите, отвърна на това, което те описват като „неточно отразяване от някои издания“. Тя публикува статия…, обясняваща как точно са хакнали системите на жертвата. По своя технически обхват това пълнометражно произведение съперничи на всичко, което може да бъде създадено от легитимен екип за изследване на заплахи“, казва Бъд. „Те предоставиха публикация тип проучване, която в много отношения отразява типа публикации, каквито моят екип прави и каквито правят и други компании за киберзащита. Предполага се, че ходът е съзнателна акция на показване, че авторите на нападението много добре „знаят за какво говорят“. Подобна комуникационна тактика има смисъл, показвайки сериозността на нападението и утвърждавайки „контрола върху наратива в информационното пространство“.
За професионалистите, които се занимават със защитата на сложни ИТ инфраструктури в легалните организации, медийното активизиране на кибербандите е ново предизвикателство. Традиционно екипите по ИТ сигурността вършат работа, която е „невидима“ дори са собствените им колеги, а още по-невидима за крайните клиенти. Но сега схватката вече не е само на техническата арена. Тя обхваща и информационната сфера. А професионалистите по сигурността, които не са експерти по връзки с обществеността, може да открият, че не са добре подготвени да реагират медийно.
Организациите-жертви вече не могат да разчитат на това, че са единственият източник на истина за кибератаката. Техният нападател е готов да говори напълно открито за действията си. Следователно организациите вече не могат да се измъкват с изявления, гласящи, че „няма компрометирани данни“ – нападателите могат лесно да изобличат подобен опит за прикриване, доказвайки, че е лъжлив PR.
„Това на практика означава, че ако сте организация, в която се с случил пробив, нямате способността да контролирате наратива в публичното пространство. Става много по-сложно, ако кажете, че не сте били пробити, защото нападателите имат готовност да кажат „не, всъщност вие бяхте пробити и ето го доказателството“, обяснява Бъд.
Излиза, че организациите, като част от своето планиране за реагиране при киберинциденти, вече се нуждаят не само от добри планове за технически мерки, но и от добри комуникационни стратегии.