Threat Research

Stampa e minacce: le bande di ransomware e i media

Sophos X-Ops esplora la relazione simbiotica - ma spesso difficile - tra le bande di ransomware e i media, e come gli aggressori stiano cercando sempre più di prendere il controllo della narrazione

Storicamente, gli aggressori non sono mai stati propensi a confrontarsi con i giornalisti. Naturalmente seguivano le notizie sulla stampa che li riguardavano, ma raramente si facevano notare; di solito era molto più importante per loro rimanere invisibili. L’idea che gli aggressori rilasciassero regolarmente comunicati stampa e dichiarazioni, per non parlare di interviste dettagliate e discussioni con i giornalisti, era assurda (anche se a volte erano ben disposti a discutere pubblicamente tra loro).

Poi sono arrivate le bande di ransomware.

Il ransomware ha cambiato molti aspetti del panorama delle minacce, ma un recente sviluppo chiave riguarda la sua crescente mercificazione e professionalizzazione. Esistono ransomware-as-a-service; loghi e branding (e persino tatuaggi a pagamento per gli adepti) e grafica accattivante sui siti di leak; ruoli definiti in ambito HR e legale; programmi di bug bounty. Oltre agli astronomici guadagni criminali e alle sofferenze inflitte alle innumerevoli vittime, tutto questo si accompagna a una serie di attenzioni da parte dei media e a un numero sempre più elevato di aggressori.

Lungi dal rifuggire la stampa, come facevano molti aggressori in passato, alcune bande di ransomware hanno colto al volo le opportunità che essa offre loro. Ora i cyber criminali scrivono FAQ per i giornalisti che visitano i loro siti di leak, incoraggiano i giornalisti a mettersi in contatto, rilasciano interviste approfondite e reclutano scrittori. L’impegno nei confronti dei media offre alle bande di ransomware vantaggi sia tattici che strategici: consente loro di esercitare pressioni sulle vittime, ma anche di plasmare la narrazione, gonfiare la propria notorietà e il proprio ego e di “mitizzarsi” ulteriormente.

Naturalmente, non si tratta sempre di un rapporto armonioso. Di recente abbiamo assistito a diversi esempi di soggetti attivi nel settore del ransomware che hanno contestato la copertura degli attacchi da parte dei giornalisti e hanno tentato di correggere il quadro della situazione, talvolta lanciando insulti a specifici reporter. Se da un lato questo ha implicazioni per il panorama più ampio delle minacce, dall’altro ha conseguenze anche per i singoli obiettivi. Oltre a dover gestire l’impatto sull’azienda, le richieste di riscatto e le ricadute sulla reputazione, le organizzazioni sono ora costrette a guardare mentre le bande di ransomware si scontrano con i media in pubblico, con ogni incidente che alimenta una maggiore visibilità e aggiunge ulteriore pressione.

Sophos X-Ops ha condotto un’indagine su diversi siti di diffusione del ransomware e su forum criminali clandestini per esplorare il modo in cui le bande di ransomware cercano di sfruttare i media e di controllare la narrazione, violando così non solo i sistemi e le reti, ma anche la pubblicità che li accompagna.

Un breve riassunto dei nostri risultati:

  • Le bande di ransomware sono consapevoli del fatto che le loro attività sono considerate degne di nota e fanno leva sull’attenzione dei media sia per rafforzare la propria “credibilità” che per esercitare ulteriori pressioni sulle vittime.
  • Gli aggressori invitano e facilitano le comunicazioni con i giornalisti tramite FAQ, canali privati di PR dedicati e avvisi sui loro siti di fuga di notizie.
  • Alcune bande di ransomware hanno rilasciato interviste ai giornalisti, in cui forniscono una prospettiva ampiamente positiva delle loro attività, potenzialmente come strumento di reclutamento.
  • Tuttavia, altri sono stati più ostili a ciò che considerano una copertura inaccurata e hanno insultato sia le pubblicazioni che i singoli giornalisti.
  • Alcuni aggressori stanno sempre più professionalizzando il loro approccio alla gestione della stampa e della reputazione: pubblicano i cosiddetti “comunicati stampa”, producono grafica e branding accattivanti e cercano di reclutare scrittori e oratori inglesi nei forum criminali.

Il nostro obiettivo nel pubblicare questo pezzo è quello di esplorare come e in che misura le bande di ransomware stiano aumentando i loro sforzi in questo settore e di suggerire le misure che la comunità della sicurezza e i media possono adottare ora per annullare questi sforzi e negare alle bande di ransomware la pubblicità che stanno cercando:

  • Astenersi dal dialogare con gli aggressori, a meno che non sia nell’interesse pubblico o non fornisca informazioni e intelligence utilizzabili per i difensori.
  • Fornire informazioni solo per aiutare i difensori ed evitare qualsiasi glorificazione degli aggressori.
  • Sostenere giornalisti e ricercatori presi di mira dagli aggressori
  • Evitare di nominare o accreditare gli aggressori, a meno che non si tratti di fatti concreti e di interesse pubblico.

Come sfruttare i media

Le bande di ransomware sono consapevoli del fatto che la stampa considera le loro attività degne di nota e, a volte, collegano i loro siti alle notizie sul loro conto. Questo rafforza la loro credibilità a beneficio dei visitatori (compresi i giornalisti e le nuove vittime) e, in alcuni casi, è probabilmente anche un’occasione per far leva sul loro ego.

 

Per approfondire l’argomento leggi l’articolo.