Cyberprzestępcy „hakują” media. Dlaczego gangom ransomware zależy na zmienianiu narracji?

Pięć minut sławy to za mało

Najgłośniejszym przypadkiem interakcji cyberprzestępców z mediami był zeszłoroczny atak hakerski na kasyna MGM w Las Vegas. Po tym, jak gazety i portale internetowe przypisały go grupie Scattered Spider, do dziennikarzy odezwali się cyberprzestępcy faktycznie stojący za włamaniem. Domagali się oni sprostowania nieprawdziwych informacji oraz poinformowania opinii publicznej o rzeczywistych sprawcach. Zespół Sophos X-Ops, który śledzi działalność hakerów w darkwebie, ujawnił, że nie był to jedyny przypadek kontaktu cyberprzestępców z przedstawicielami „czwartej władzy”.

Grupy korzystające z oprogramowania ransomware do prowadzenia ataków stosują różne techniki, aby móc wpływać na media. Na prowadzonych przez hakerów witrynach często znajdują się odnośniki do specjalnych kanałów informacyjnych w aplikacji Telegram, a nawet formularze kontaktowe dla dziennikarzy. Inne zbadane przez specjalistów Sophos strony www zawierały wpisy blogowe dokładnie opisujące udane ataki oraz rzeczywiste oferty pracy dla anglojęzycznych autorów i redaktorów. Przeznaczone były one dla profesjonalistów, którzy chcieliby pracować dla grup cyberprzestępczych w celu nagłaśniania efektów ich działalności.

– Hakerzy odnoszą wymierne korzyści z kontaktowania się z mediami. Zainteresowanie dziennikarzy działalnością cyberprzestępców wpływa na ich rozpoznawalność. Grupy, o których najwięcej się mówi, stają się bardziej pożądanymi „pracodawcami” dla innych hakerów. Ponadto jest to bardzo skuteczna metoda wywierania nacisku na ofiary, które mają zapłacić okup. Atakujący grożą, że przekażą dziennikarzom poufne dane, jeśli nie otrzymają pieniędzy za odszyfrowane plików lub zaniechanie ich udostępniania – komentuje Christopher Budd, dyrektor ds. badań nad zagrożeniami w firmie Sophos.

Nie hakerzy, a „służby bezpieczeństwa”

Zespół Sophos X-Ops informuje także o przypadkach, w których grupy cyberprzestępcze w wysyłanych do mediów komunikatach prasowych przedstawiają się jako „służby bezpieczeństwa”, aby zmieniać niesprzyjającą im narrację i pozbyć się łatki kryminalistów.

Obecne wizerunkowe działania cyberprzestępców, choć naśladują działania legalnych firm, są zazwyczaj bardzo amatorskie – uspokajają eksperci Sophos. Zaznaczają przy tym, że wraz z profesjonalizacją całej branży ransomware sytuacja może się jednak zmienić. Nie jest wykluczone zatrudnianie przez hakerów profesjonalnych specjalistów od wizerunku – w końcu liczy się zwiększanie nacisku na ofiary i zmniejszanie presji wywieranej przez organy ścigania.

– Już teraz obserwujemy, że hakerzy próbują bezpośrednio kontaktować się z mediami. W przyszłości będzie to prawdopodobnie jeszcze bardziej powszechne zjawisko. Dlatego tak ważne jest, aby być odpornym na przekaz płynący ze strony cyberprzestępców. Media powinny informować o stosowanych przez nich technikach oraz sposobach na wzmacnianie bezpieczeństwa, a nie o tym, kto stał za atakiem – dodaje Christopher Budd.

Według sporządzonego przez firmę Sophos raportu State of Ransomware 2023, aż 70% firm z branży medialnej zostało zaatakowanych przez cyberprzestępców. Jej pracownicy powinni być szczególnie ostrożni w reagowaniu na sygnały wysyłane im przez osoby stojące za kryminalną działalnością w sieci. Aż co czwarty cyberatak na redakcje i wydawnictwa umożliwiły nielegalne pozyskane przez hakerów danych do logowania do firmowych systemów.

– Rekomendujemy, aby dziennikarze nie kontaktowali się z gangami ransomware i informowali o działalności hakerów wyłącznie na podstawie faktów. Zalecamy także unikania wymieniania nazw poszczególnych grup cyberprzestępczych, o ile nie leży to w interesie publicznym – podsumowuje ekspert.