Експерти кажуть, що спільнота кібербезпеки стає обдуреною фальшивими заявами про порушення від груп програм-вимагачів, а дезінформація про програми-вимагачі є загрозою, яка, за їх прогнозами, буде тільки зростати в найближчі місяці.
Спільнота кібербезпеки повинна знати, що кіберзлочинці не є надійними оповідачами, але останнім часом усе, що потрібно групам програм-вимагачів, — це публікація в темній мережі, у якій стверджується, що вони зламали організацію, а також кілька ключових повторних твітів і передусім… повномасштабна кібербезпека. почалося розслідування; незалежно від того, відбулося якесь порушення насправді чи ні.
За словами експерта з програм-вимагачів і дослідника загроз Єлісея Богуславського з RedSense, два конкретних інциденти, що сталися в останні дні січня, підкреслюють цю зростаючу тенденцію серед груп програм-вимагачів: передбачувані атаки на Technica та Europcar.
«Інша сторона явно дає відсіч — як ФБР знищує цілі групи, так і підприємства, які встановлюють належний захист», — каже він. «Операторам програм-вимагачів тепер потрібно розпочати справжню боротьбу, але їхні колективи ніколи не були призначені для цього, оскільки, за своєю суттю, це дрібні злочинці без уяви чи винахідливості, які націлені на мережі, які залишилися незахищеними. Брехня та реклама – це єдине, що їм залишилося».
Немає достовірних доказів порушення Technica
30 січня заголовки висвітлювали заяви про загрозу програм-вимагачів ALPHV (він же BlackCat) що він зміг викрасти секретну інформацію у Technica Corp., IT-фахівців, які обслуговують різні аспекти уряду США, включаючи ВМС і ВПС. Як приклад того, з якими конфіденційними даними працює компанія, Technica наразі набирає на LinkedIn на посаду відкритого системного адміністратора на базі ВПС Ленглі. Technica також надає ІТ-підтримку для Федерального бюро розслідувань.
Якщо ALPHV справді зламав Technica, група могла б мати в своєму розпорядженні надсекретними матеріалами та становити серйозну загрозу національній безпеці США.
З огляду на кількість допусків безпеки, імовірно необхідних для роботи на оборонного підрядника Technica, не дивно, що організація публічно не коментувала заяви ALPHV. Наприклад, кілька запитів про коментар від Dark Reading залишилися без відповіді. Але в порожнечі обміну повідомленнями публікація ALPHV у темній мережі (що містить погрозу розголошення урядових секретів США) проникла в цикл новин і пліток кількома твітів і заголовки, що спекулюють на потенційних наслідках такого Технічне порушення.
Але за словами Богуславського, який уважно стежить за групою, немає достовірних доказів того, що Technica була скомпрометована, окрім кількох скріншотів, якими поділився ALPHV.
Проте група змогла отримати велику перемогу серед конкуруючих кіл кіберзлочинців із програмами-вимагачами, а також трохи помститися ФБР.
У грудні ФБР захопило інфраструктуру ALPHV і знищив сайти витоку програм-вимагачів, що підірвало весь бізнес. Якщо група програм-вимагачів розглядається як обмін ударами з правоохоронними органами з компрометацією власного ІТ-постачальника федералів, це підвищує їхню репутацію серед кіберзлочинців, а також потенційних афілійованих осіб.
Europcar теж не було зламано, незважаючи на претензії
Компанія з оренди автомобілів Europcar також стала жертвою неправдивих претензій щодо витоку даних з боку аноніма, який пропонував продати дані понад 48.6 мільйонів людей на хакерському форумі в кінці січня.
Europcar категорично заперечує злом програм-вимагачів і зазначив, що зразки даних, які поширюються на форумі Dark Web, явно підроблені.
«Отримавши повідомлення від служби розвідки про загрози, що обліковий запис нібито продає дані Europcar у темній мережі, і ретельно перевіривши дані, що містяться у зразку, компанія впевнена, що ця реклама неправдива», — йдеться в заяві компанії.
Завдяки новим інструментам, що використовують штучний інтелект і машинне навчання, фальсифікувати ймовірно викрадені дані стало простіше, ніж будь-коли, залишаючи людям можливість перевірити факти цих заяв груп про програмне забезпечення-вимагач і зупинити їх поширення.
Програми-вимагачі занепадають, групи гоняться за впливом
Такі неправдиві твердження завжди були частиною екосистеми програм-вимагачів, але, за словами Богуславського, є кілька факторів, які роблять дезінформацію ще більш привабливою для цих груп.
Як уже згадувалося, перше — це загальний успіх захисту кібербезпеки у боротьбі з кіберзлочинністю, пояснює Богуславський. Інший – погоня за впливом серед кіберзлочинців. Богуславський каже, що ці оператори програм-вимагачів намагаються підхопити хвилю слави, подібну до той з 2019 року це вивело з невідомості те, що він називає «нижчими джерелами кіберзлочинності».
«І тепер вони знову змушені повернутися до свого ізгою», — додає він. «Оскільки їхні операції занепадають, вони не можуть вгамувати своє его, і їхня надія на те, що зароблені ними гроші допоможуть підвищити їхній соціальний статус, розвіялася».
Професіонали з кібербезпеки розповсюджують фейкові новини програм-вимагачів
Як і більшість кампаній з дезінформації, помилкові твердження про програми-вимагачі покладаються на те, що інші поширюють їх і сприймають серйозно. Богуславський закликає англомовну кіберспільноту припинити поширювати ці повідомлення; навіть простий акт перекладу брехні англійською робить її більш правдоподібною, попереджає він.
«Це класична тактика постправди: стверджувати щось неправдиве і насолоджуватися галасом», — пояснив він. «Навіть якщо професіонали доведуть фальшивість заяви, цього ніхто не побачить».
Дослідники Dragos відзначили у своїх останніх звіт про програми-вимагачі що ці групи все більше вдосконалюють свої засоби масової інформації та методи зв’язків з громадськістю, дають журналістам інтерв’ю та розсилають прес-релізи, а також співпрацюють, щоб обмінюватися бізнес-порадами.
Таким чином, команди корпоративної кібербезпеки повинні розпізнавати нову стратегію комунікації дезінформації про програми-вимагачі та реагувати на неї.
«На щастя для них (груп програм-вимагачів), англомовна спільнота кібербезпеки намагається допомогти їм із цим», — сказав Богуславський.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/ransomware-groups-gain-clout-fake-attack-claims
